锐捷交换机路由器常用配置操作.doc

锐捷交换机路由器常用配置操作1.1 通过TELNET方式来配置设备提问：如何通过telnet方式来配置设备？回答：步骤一：配置VLAN1的IP地址S5750en -进入特权模式S5750#conf -进入全局配置模式 S5750(config)#int vlan 1 -进入vlan 1接口S5750(config-if)#ip address 30 -为vlan 1接口上设置管理ipS5750(config-if)#exit -退回到全局配置模式步骤二：配置telnet密码S5750(config)#line vty 0 4 -进入telnet密码配置模式S5750(config-line)#login -启用需输入密码才能telnet成功S5750(config-line)#password rscstar -将telnet密码设置为rscstarS5750(config-line)#exit -回到全局配置模式S5750(config)# enable secret level 15 0 rscstar-配置进入特权模式的密码为rscstar1.2 更改IOS命令的特权等级提问：如何只允许dixy这个用户使用与ARP相关的命令？回答：S5750(config)#username dixy password dixy -设置dixy用户名和密码S5750(config)#username dixy privilege 10 -dixy帐户的权限为10S5750(config)#privilege exec level 10 show arp-权限10可以使用show arp命令S5750(config)#privilege config all level 10 arp -权限10可以使用所有arp打头的命令S5750(config)#line vty 0 4 -配置telnet登陆用户S5750(config-line)#no passwordS5750(config-line)#login local1.3设备时钟设置提问：如何设置设备时钟？回答：S5750#clock set 12:45:55 11 25 2008 -设置时间为2008年11月25日12点45分55秒S5750#clock update-calendar -设置日历更新 S5750(config)#clock timezone CN 8 22 -时间名字为中国，东8区22分2.1 交换机vlan和trunk的配置提问：如何在交换机上划分vlan，配置trunk接口？回答：步骤一：给交换机配置IP地址S2724G#confS2724G(config)#int vlan 1S2724G(config-if)#ip addess 00 -给VLAN 1配置IP地址S2724G(config-if)#no shutdown -激活该VLAN接口S2724G(config-if)#exitS2724G(config)#ip default-gateway -指定交换机的网关地址步骤二：创建VLANS2724G#confS2724G(config)#vlan 10 -创建VLAN 10S2724G(config-vlan)#exitS2724G(config)# vlan 20 -创建VLAN 20S2724G(config-vlan)#exit步骤三：把相应接口指定到相应的VLAN中S2724G(config)#int gi 0/10S2724G(config-if)#switch access vlan 10 -把交换机的第10端口划到VLAN 10中S2724G(config-if)#exitS2724G(config)#int gi 0/20S2724G(config-if)#switch access vlan 20 -把交换机的第20端口划到VLAN 20中S2724G(config-if)#exitS2724G(config)#int gi 0/24S2724G(config-if)#switch mode trunk -设置24口为Trunk模式（与三层交换机的连接口S2724G(config-if)#步骤四：保存配置S2724G(config-if)#endS2724G#write2.2 turnk接口修剪配置提问：如何让trunk接口只允许部分vlan通过？回答：Switch(config)#int fa 0/24Switch (config-if)#switch mode trunkSwitch (config-if)#switchport trunk allowed vlan remove 10,20,30-40-不允许VLAN10,20,30-40通过Trunk口2.3 PVLAN配置提问：如何实现几组用户之间的隔离，但同时又都能访问公用服务？回答：步骤一：创建隔离VLANS2724G#confS2724G(config)#vlan 3 -创建VLAN3S2724G(config-vlan)#private-vlan community -将VLAN3设为隔离VLANS2724G(config)#vlan 4 -创建VLAN4S2724G(config-vlan)#private-vlan community -将VLAN4设为隔离VLANS2724G(config-vlan)#exit -退回到特权模式步骤二：创建主VLANS2724G(config)#vlan 2 -进入VLAN2S2724G(config-vlan)#private-vlan primary -VLAN2为主VLAN步骤三：将隔离VLAN加到到主VLAN中VLANS2724G(config-vlan)#private-vlan association add 3-4 -将VLAN3和VLAN4加入到公用VLAN中，VLAN3和VLAN4的用户可以访问公用接口步骤四：将实际的物理接口与VLAN相对应S2724G(config)#interface GigabitEthernet 0/1 -进入接口1，该接口连接服务器或者上联设备S2724G(config-if)#switchport mode private-vlan promiscuous -接口模式为混杂模式S2724G(config-if)#switchport private-vlan mapping 2 add 3-4 -将VLAN3和VLAN4映射到VLAN2上S2724G(config)#int gi 0/10 -进入接口10S2724G(config-if)#switchport mode private-vlan hostS2724G(config-if)#switchport private-vlan host-association 2 3 -该接口划分入VLAN3S2724G(config)#int gi 0/20 -进入接口20S2724G(config-if)#switchport mode private-vlan hostS2724G(config-if)#switchport private-vlan host-association 2 4 -该接口划分入VLAN4步骤五：完成VLAN的映射S2724G(config)#int vlan 2 -进入VLAN2的SVI接口S2724G(config-if)#ip address -配置VLAN2的ip地址S2724G(config-if)#private-vlan mapping add 3-4 -将VLAN3和VLAN4加入到VLAN2中注释：1. S20、S21不支持私有VLAN，可以通过保护端口实现类似功能2. S3250、S3750和S5750同时支持保护端口和私有VLAN3. S3760不支持私有VLAN和保护端口2.4 端口汇聚配置提问：如何将交换机的端口捆绑起来使用？回答：S5750#confS5750(config)#interface range gigabitEthernet 0/1 4 -同时进入1到4号接口S5750(config-if)#port-group 1 -设置为聚合口1S5750(config)#interface aggregateport 1 -进入聚合端口1注意：配置为AP口的接口将丢失之前所有的属性，以后关于接口的操作只能在AP1口上面进行2.5 生成树配置提问：如何配置交换机的生成树？回答：步骤一：根桥的设置switch_A#conf tswitch_A(config)#spanning-tree -默认模式为MSTPswitch_A(config)#spanning-tree mst configurationswitch_A(config)#spanning-tree mst 10 priority 4096 -设置为根桥步骤二：非根桥的设置switch_B#conf tswitch_B(config)#spanning-tree -默认模式为MSTPswitch_B(config)#spanning-tree mst configurationswitch_B(config)#int f0/1 -PC的接入端口switch_B(config)#spanning-tree bpduguard enable switch_B(config)#spanning-tree portfast2.6 端口镜像设置提问：如何配置交换机的端口镜像？回答：switch#conf tswitch#(config)#switch (config)# monitor session 1 source interface gigabitEthernet 3/1 both -监控源口为g3/1switch (config)# monitor session 1 destination interface gigabitEthernet 3/8 switch -监控目的口为g3/8，并开启交换功能注意：S2026交换机镜像目的端口无法当做普通接口使用3.1 交换机地址绑定（address-bind）功能提问：如何对用户ip+mac进行两元素绑定？回答：S5750#confS5750(config)# address-bind 01 0016.d390.6cc5 -绑定ip地址为01 MAC地址为0016.d390.6cc5的主机让其使用网络S5750(config)# address-bind uplink GigabitEthernet 0/1 -将g0/1口设置为上联口，也就是交换机通过g0/1的接口连接到路由器或是出口设备，如果接口选择错误会导致整网不通S5750(config)# address-bind install -使能address-bind功能S5750(config)#end -退回特权模式S5750# wr -保存配置注释：1. 如果修改ip或是MAC地址该主机则无法使用网络，可以按照此命令添加多条，添加的条数跟交换机的硬件资源有关2. S21交换机的address-bind功能是防止Ip冲突，只有在交换机上绑定的才进行ip和MAC的匹配，如果下边用户设置的ip地址在交换机中没绑定，交换机不对该数据包做控制，直接转发。3.2 交换机端口安全功能提问：如何对用户ip+mac+接口进行三元素绑定？回答：S5750#confS5750(config)# int g0/23 -进入第23接口，准备在该接口绑定用户的MAC和ip地址S5750(config-if)# switchport port-security mac-address 0016.d390.6cc5 ip-address 01 -在23端口下绑定ip地址是01 MAC地址是0016.d390.6cc5的主机，确保该主机可以正常使用网络，如果该主机修改ip或者MAC地址则无法使用网络，可以添加多条来实现对接入主机的控制S5750(config-if)# switchport port-security -开启端口安全功能S5750(config)#end -退会特权模式S5750# wr -保存配置 注释：可以通过在接口下设置最大的安全地址个数从而来控制控制该接口下可使用的主机数，安全地址的个数跟交换机的硬件资源有关3.3 交换机arp-check功能提问：如何防止错误的arp信息在网络里传播？回答：S5750#confS5750(config)# int g0/23 -进入第23接口，准备在该接口绑定用户的MAC和ip地址S5750(config-if)# switchport port-security mac-address 0016.d390.6cc5 ip-address 01 -ip+mac绑定信息S5750(config-if)# switchport port-security -开启端口安全功能S5750(config-if)# switchport port-security arp-check -开启端arp检查功能S5750(config)#end -退会特权模式S5750# wr -保存配置 注释：开启arp-check功能后安全地址数减少一半，具体情况请查阅交换机配置指南3.4 交换机ARP动态检测功能(DAI)提问：如何在动态环境下防止ARP欺骗？回答：步骤一： 配置DHCP snoopingS3760#con tS3760(config)#ip dhcp snooping -开启dhcp snoopingS3760(config)#int f 0/1S3760(config-if)#ip dhcp snooping trust -设置上连口为信任端口（注意：缺省所有端口都是不信任端口）,只有此接口连接的服务器发出的DHCP响应报文才能够被转发.S3760(config-if)#exitS3760(config)#int f 0/2S3760(config-if)# ip dhcp snooping address-bind-配置DHCP snooping的地址绑定功能S3760(config-if)#exitS3760(config)#int f 0/3S3760(config-if)# ip dhcp snooping address-bind -配置DHCP snooping的地址绑定功能步骤二： 配置DAIS3760(config)# ip arp inspection -启用全局的DAIS3760(config)# ip arp inspection vlan 2 -启用vlan2的DAI报文检查功能S3760(config)# ip arp inspection vlan 3 -启用vlan3的DAI报文检查功能4.1 标准ACL配置提问：如何只允许端口下的用户只能访问特定的服务器网段？回答：步骤一：定义ACLS5750#conf t -进入全局配置模式S5750(config)#ip access-list standard 1 -定义标准ACLS5750(config-std-nacl)#permit 55 -允许访问服务器资源S5750(config-std-nacl)#deny any -拒绝访问其他任何资源S5750(config-std-nacl)#exit -退出标准ACL配置模式步骤二：将ACL应用到接口上S5750(config)#interface GigabitEthernet 0/1 -进入所需应用的端口S5750(config-if)#ip access-group 1 in -将标准ACL应用到端口in方向注释：1. S1900系列、S20系列交换机不支持基于硬件的ACL。2. 实际配置时需注意，在交换机每个ACL末尾都隐含着一条“拒绝所有数据流”的语句。3. 以上所有配置，均以锐捷网络S5750-24GT/12SFP 软件版本10.2（2）为例。其他说明，其详见各产品的配置手册访问控制列表配置一节。4.2 扩展ACL配置 提问：如何禁止用户访问单个网页服务器？回答：步骤一：定义ACLS5750#conf t -进入全局配置模式S5750(config)#ip access-list extended 100 -创建扩展ACLS5750(config-ext-nacl)#deny tcp any host 54 eq www -禁止访问web服务器S5750(config-ext-nacl)#deny tcp any any eq 135 -预防冲击波病毒S5750(config-ext-nacl)#deny tcp any any eq 445 -预防震荡波病毒S5750(config-ext-nacl)#permit ip any any -允许访问其他任何资源S5750(config-ext-nacl)#exit -退出ACL配置模式步骤二：将ACL应用到接口上S5750(config)#interface GigabitEthernet 0/1 -进入所需应用的端口S5750(config-if)#ip access-group 100 in -将扩展ACL应用到端口下4.3 VLAN之间的ACL配置提问：如何禁止VLAN间互相访问？回答：步骤一：创建vlan10、vlan20、vlan30S5750#conf -进入全局配置模式S5750(config)#vlan 10 -创建VLAN10S5750(config-vlan)#exit -退出VLAN配置模式S5750(config)#vlan 20 -创建VLAN20S5750(config-vlan)#exit -退出VLAN配置模式S5750(config)#vlan 30 -创建VLAN30S5750(config-vlan)#exit -退出VLAN配置模式步骤二：将端口加入各自vlanS5750(config)# interface range gigabitEthernet 0/1-5 -进入gigabitEthernet 0/1-5号端口S5750(config-if-range)#switchport access vlan 10 -将端口加划分进vlan10S5750(config-if-range)#exit -退出端口配置模式S5750(config)# interface range gigabitEthernet 0/6-10 -进入gigabitEthernet 0/6-10号端口S5750(config-if-range)#switchport access vlan 20 -将端口加划分进vlan20S5750(config-if-range)#exit -退出端口配置模式S5750(config)# interface range gigabitEthernet 0/11-15 -进入gigabitEthernet 0/11-15号端口S5750(config-if-range)#switchport access vlan 30 -将端口加划分进vlan30 S5750(config-if-range)#exit -退出端口配置模式 步骤三：配置vlan10、vlan20、vlan30的网关IP地址 S5750(config)#interface vlan 10 -创建vlan10的SVI接口 S5750(config-if)#ip address -配置VLAN10的网关 S5750(config-if)#exit -退出端口配置模式 S5750(config)#interface vlan 20 -创建vlan10的SVI接口 S5750(config-if)#ip address -配置VLAN10的网关 S5750(config-if)#exit -退出端口配置模式 S5750(config)#interface vlan 30 -创建vlan10的SVI接口 S5750(config-if)#ip address -配置VLAN10的网关 S5750(config-if)#exit -退出端口配置模式 步骤四：创建ACL，使vlan20能访问vlan10，而vlan30不能访问vlan10S5750(config)#ip access-list extended deny30 -定义扩展ACLS5750(config-ext-nacl)#deny ip 55 55 -拒绝vlan30的用户访问vlan10资源S5750(config-ext-nacl)#permit ip any any -允许vlan30的用户访问其他任何资源S5750(config-ext-nacl)#exit -退出扩展ACL配置模式步骤五：将ACL应用到vlan30的SVI口in方向S5750(config)#interface vlan 30 -创建vlan30的SVI接口S5750(config-if)#ip access-group deny30 in -将扩展ACL应用到vlan30的SVI接口下4.4 单向ACL的配置提问：如何实现主机A可以访问主机B的FTP资源，但主机B无法访问主机A的FTP资源？回答：步骤一：定义ACLS5750#conf t -进入全局配置模式S5750(config)#ip access-list extended 100 -定义扩展ACLS5750(config-ext-nacl)#deny tcp any host 54 match-all syn -禁止主动向A主机发起TCP连接S5750(config-ext-nacl)#permit ip any any -允许访问其他任何资源S5750(config-ext-nacl)#exit -退出扩展ACL配置模式步骤二：将ACL应用到接口上S5750(config)#interface GigabitEthernet 0/1 -进入连接B主机的端口S5750(config-if)#ip access-group 100 in -将扩展ACL应用到端口下S5750(config-if)#end -退回特权模式S5750#wr -保存 注释：单向ACL只能对应于TCP协议，使用PING无法对该功能进行检测5.1 DHCP服务配置提问：如何在设备上开启DHCP服务，让不同VLAN下的电脑获得相应的IP地址？回答：步骤一：配置VLAN网关IP地址，及将相关端口划入相应的VLAN中S3760#con tS3760(config)#vlan 2 -创建VLAN2S3760(config-vlan)#exit -退回到全局配置模式下S3760(config)#vlan 3 -创建VLAN3S3760(config-vlan)#exit -退回到全局配置模式下S3760(config)#int vlan 2 -进入配置VLAN2S3760(config-if)#ip add -设置VLAN2的IP地址S3760(config-if)#exit -退回到全局配置模式下S3760(config)#int vlan 3 -进入配置VLAN3S3760(config-if)#ip add -设置VLAN3的IP地址5.2 交换机dot1x认证配置提问：如何在交换机上开启dot1x认证？回答：步骤一：基本AAA配置Switch#confSwitch(config)# aaa new-model -启用认证Switch(config)# aaa accounting network test start-stop group radius -配置身份认证方法Switch(config)# aaa group server radius testSwitch(config-gs-radius)# server X.X.X.X -指定记帐服务器地址Switch(config-gs-radius)# exitSwitch(config)# aaa authentication dot1x default group radius local -配置dot1x认证方法5.3 QOS限速配置提问：如何通过QOS实行限速？回答：步骤一：定义希望限速的主机范围S3760enS3760#confS3760(config)#access-list 101 permit ip host 01 any -定义要限速的IPS3760(config)#access-list 102 permit ip host 02 any -定义要限速的IP步骤二：创建规则类，应用之前定义的主机范围S3760(config)#class-map xiansu101 -创建class-map，名字为xiansu101S3760(config-cmap)#match access-group 101 -匹配IP地址S3760(config-cmap)#exitS3760(config)#class-map xiansu102 -创建class-map，名字为xiansu102S3760(config-cmap)#match access-group 102 -匹配IP地址S3760(config-cmap)#exit5.4 IPsec配置提问：如何在两台路由器之间启用IPsec？回答：R1路由器设置 步骤一：配置访问控制列表，定义需要IPsec保护的数据R1(config)#access-list 101 permit ip host host 步骤二：定义安全联盟和密钥交换策略R1(config)#crypto isakmp policy 1R1(isakmp-policy)#authentication pre-share -认证方式为预共享密钥R1(isakmp-policy)#hash md5 -采用MD5的HASH算法 步骤三：配置预共享密钥为dixy，对端路由器地址为R1(config)#crypto isakmp key 0 dixy address 5.5 GRE配置提问：如何在两台路由器之间启用GRE？回答：NBR(config)#interface Tunnel0NBR(config-if)#ip address NBR (config-if)#tunnel mode gre ipNBR (config-if)#tunnel source NBR (config-if)#tunnel destination 5.6 PPTP配置提问：如何在路由器上配置PPTP？回答：步骤一：配置VPN相关参数R1762#confR1762(config)#vpdn enableR1762(config)#vpdn-group pptp -创建一个VPDN组，命名为pptpR1762(config-vpdn)#accept-dialin -允许拨号R1762(config-vpdn-acc-in)#protocol pptp -协议为PPTPR1762(config-vpdn-acc-in)#virtual-template 1 -引用虚模板1步骤二：配置用户和地址池R1762(config)#username test password 0 test -创建一个账户，用户和密码都是testR1762(config)#ip local pool vpn 00 10-创建vpn拨入的地址池，命名为vpn，范围是00-1105.7 路由器L2TP配置提问：如何在两台路由器之间构建L2TP？回答：步骤一：SERVER端路由器配置VPN相关参数R1762#confR1762(config)#vpdn enableR1762(config)#vpdn-group l2tp -创建一个VPDN组，命名为l2tpR1762(config-vpdn)#accept-dialin -允许拨号R1762(config-vpdn-acc-in)#protocol l2tp -协议为l2tpR1762(config-vpdn-acc-in)#virtual-template 1 -引用虚模板1步骤二：SERVER端路由器配置用户和地址池R1762(config)#username test password 0 test -创建一个账户，用户和密码都是testR1762(config)#ip local pool vpn 00 10-创建vpn拨入的地址池，命名为vpn，范围是00-1105.8 路由器NAT配置提问：如何设置NAT？回答：NBR(config)#access-list 10 permit 55 -设置允许NAT的地址范围NBR(config)#interface FastEthernet 1/0NBR(config-if)#ip nat outside -定义外网接口NBR(config)#interface FastEthernet 0/0NBR(config-if)#ip nat inside -定义内网接口NBR(config)#ip nat pool defult prefix-length 24 -创建一个地址池，命名为defultNBR(config-ipnat-pool)#address match interface FastEthernet 1/0 -公网地址范围为到 NBR(config)#ip nat inside source list 10 pool test overload -应用地址池6.1 默认路由配置提问：如何在设备上配置默认路由？回答：Ruijie#configure terminalRuijie (config)#ip route fastEthernet 0/0 -路由下一跳接口为fa0/0，下一跳网关为6.2 静态路由配置提问：如何在设备上配置静态路由？回答：Ruijie#configure terminalRuijie (config)#ip route fastEthernet 0/0 -去往网段的路由，下一跳接口为fa0/0，下一跳网关为6.3 浮动路由配置提问：如何在设备上配置浮动路由？回答：Ruijie#configure terminalRuijie (config)#ip route fastEthernet 0/0 Ruijie (config)#ip route fastEthernet 1/0 90-当fa0/0出现问题后，所有路由由接口fa1/0，送往网关6.4 策略路由配置提问：希望部分IP走A线路，另一部分IP走B线路？回答：步骤一：配置匹配源的ACLRuijie#configure t