锐捷交换机和路由器的配置案例锐捷知道.docx

1、锐捷交换机和路由器的配置案例锐捷知道交换机和路由器的配置案例来自锐捷工程师的答复一、交换机部分1、RG-S3760-24 QOS 如何配置？ -定义要限速的IP步骤二：创立规那么类，应用之前定义的主机范围S3760(config)#class-map xiansu101 -创立class-map，名字为xiansu101S3760(config-cmap)#match access-group 101 -匹配IP地址S3760(config-cmap)#exitS3760(config)#class-map xiansu102 -创立class-map，名字为xiansu102S3760(co

2、nfig-cmap)#match access-group 102 -匹配IP地址S3760(config-cmap)#exit步骤三：创立策略类：应用之前定义的规那么，配置限速大小S3760(config)#policy-map xiansu -创立policy-map，名字为xiansuS3760(config-pmap)#class xiansu101 -符合class xiansu101S3760(config-pmap-c)#police 8000 512 exceed-action drop -限速值为8000Kbit1MBS3760(config-pmap)#class xian

3、su102 -符合class xiansu102S3760(config-pmap-c)#police 4000 512 exceed-action drop -限速值为4000KbitS3760(config-pmap-c)#end步骤四：进入接口，应用之前定义的策略S3760#confS3760(config)#int fa 0/10 -进入接口S3760(config-if)#service-policy input xiansu -将该限速策略应用在这个接口上注释：1. 通过QOS 限制上行流量2. 推荐在S2924G，S3250和S3760上应用该功能2、RG-S2652G-E如何配

4、置 某台电脑不能上网，我的意思就是如何在交换机上面添加命令，设置某个网卡地址不能通过此交换机上网而不影响其他机器！步骤一：定义ACLS2652G#conf t -进入全局配置形式S2652G(config)#ip access-list ex test -定义扩展的ACLS2652G2652G(config-std-nacl)#deny ip any any -回绝访问其他任何资源S2652G(config-std-nacl)#exit -退出标准ACL配置形式步骤二：将ACL应用到接口上S2652G(config)#interface fastEthernet 0/1 -进入所需应用的端口S

5、2652G(config-if)#ip access-group test in -将标准ACL应用到端口in方向3、如何对用户ip+mac+接口进展三元素绑定？S5750#confS5750(config)# int g0/23 -开启端口平安功能S5750(config)#end -退会特权形式S5750# wr -保存配置注释：可以通过在接口下设置最大的平安地址个数从而来控制控制该接口下可使用的主机数，平安地址的个数跟交换机的硬件资源有关4、s2328G#confs2328G(config)#ip access-list ex testS2328G2328G2328G(config-ex

6、t-nacl)#permit2328G2328G2328G2328G2328G2328G2328G(config-ext-nacl)#deny ip any anyS2328G(config-ext-nacl)#exits2328G(config)#int f 0/3s2328G(config)#ip access-group test in5、6、如何配置端口捆绑，进步交换机链接的带宽？下面的例子是将二层的以太网接口0/1 配置成二层AP 5 成员：Ruijie# configure terminalRuijie(config)# interface range gigabitEtherne

7、t 0/1Ruijie(config-if-range)# port-group 5Ruijie(config-if-range)# end您可以在全局配置形式下使用命令 Ruijie(config)# interface aggregateport n (n为AP 号)来直接创立一个AP(假设AP n 不存在)。注意：将普通端口参加某个AP 口后，当该端口再次从ap 口退出时，普通端口上的原先相关的配置可能会恢复为缺省的配置。不同功能对ap 口的成员的原有配置的处理方式有所不同，因此建议在端口从ap 口退出后，应查看并确认端口的配置。7、如何通过QOS实行限速？ -定义要限速的IP步骤二：创

8、立规那么类，应用之前定义的主机范围S3760(config)#class-map xiansu101 -创立class-map，名字为xiansu101S3760(config-cmap)#match access-group 101 -匹配IP地址S3760(config-cmap)#exitS3760(config)#class-map xiansu102 -创立class-map，名字为xiansu102S3760(config-cmap)#match access-group 102 -匹配IP地址S3760(config-cmap)#exit步骤三：创立策略类：应用之前定义的规那么，

9、配置限速大小S3760(config)#policy-map xiansu -创立policy-map，名字为xiansuS3760(config-pmap)#class xiansu101 -符合class xiansu101S3760(config-pmap-c)#police 8000 512 exceed-action drop -限速值为8000Kbit1MBS3760(config-pmap)#class xiansu102 -符合class xiansu102S3760(config-pmap-c)#police 4000 512 exceed-action drop -限速值为

10、4000KbitS3760(config-pmap-c)#end步骤四：进入接口，应用之前定义的策略S3760#confS3760(config)#int fa 0/10 -进入接口S3760(config-if)#service-policy input xiansu -将该限速策略应用在这个接口上注释：1. 通过QOS 限制上行流量2. 推荐在S2924G，S3250和S3760上应用该功能8、如何限制交换机的端口下载速率？RuijieenRuijie#conEnter configuration commands, one per line. End with CNTL/Z.Ruijie

11、(config)#int gi0/1 -进入接口GigabitEthernet 0/1Ruijie(config-if-GigabitEthernet 0/1)#rate-limit output ? KBits per second -限速范围312Kbits-1000MRuijie(config-if-GigabitEthernet 0/1)#rate-limit output 1000 ? K burst bytes: 4,8,16,.,1024,2*1024,4*1024,.,16*1024-设置猝发流量限制值。需设置4，8，16等值。Ruijie(config-if-GigabitE

12、thernet 0/1)#rate-limit output 1000 256 -设置Gi0/1端口限速1M，猝发流量256KRuijie(config-if-GigabitEthernet 0/1)#endRuijie#*Jan 13 10:02:17: %SYS-5-CONFIG_I: Configured from console by consoleRuijie#wr删除该端口限速配置：Ruijie(config-if-GigabitEthernet 0/1)#no rate-limit output注释：1.Rate-limit基于端口限速，非基于IP；2.支持rate-limit

13、的output方向；限制下载速率较准确。9、交换机dot1x认证配置？以与SAM认证环境为例的简易配置适用于10.x软件平台交换机如23系列等：S2328G(config)#aaa new-model -开启aaa认证S2328G(config)#aaa accounting update -开启记账更新S2328G(config)#aaa accounting network default start-stop group radius -配置记账功能S2328G(config)#aaa group server radius default S2328G -定义记账效劳器IPS2328G

14、 -定义认证效劳器IPS2328G(config)#radius-server key 0 ruijie -配置Radius key为ruijieS2328G(config)#snmp-server community ruijie rw -配置团体名ruijie，属性为rwS2328G(config)#aaa authentication login default group radius local none -配置登入设备的认证方法见注释S2328G(config)#aaa authentication dot1x default group radius local none -配置

15、dot1x认证方法S2328G(config)#dot1x accounting default -开启dot1x记账功能S2328G(config)#dot1x authentication default -开启dot1x认证功能S2328G(config)#dot1x client-probe enable -配置hello功能S2328G(config)#interface GigabitEthernet 0/1S2328G(config-if)#dot1x port-control auto -在接入PC的端口上使能dot1x认证S2328G(config-if)#dot1x dyn

16、amic-vlan enable -在接入PC的端口上使能VLAN跳转适用于非10.x软件平台的交换机如21系列等等：S2328G(config)# aaa authentication dot1x-翻开802.1xS2328G(config)# aaa accounting-翻开计费功能S2328G -配置认证效劳器IPS2328G-配置计费效劳器IPS2328G(config)#radius-server key ruijie -配置Radius key为ruijieS2328G(config)#snmp-server community ruijie rw -配置团体名ruijie，属性

17、为rwS2328G(config)# aaa accounting update -翻开计费更新S2328G(config)#dot1x client-probe enable -开启hello功能S2328G(config)#interface GigabitEthernet 0/1S2328G(config-if)#dot1x port-control auto -在接入PC的端口上使能dot1x认证S2328G(config-if)#dot1x dynamic-vlan enable -在接入PC的端口上使能VLAN跳转注释：1在10.x平台的配置中，aaa authentication

18、 login default group radius local none针对这条命令，假设登入设备时不希望提示用户名和密码，那么修改为：aaa authentication login default none；假设想用在交换机本地验证用户名和密码，那么修改为aaa authentication login default local。本配置模板只供初学者或实验使用，假设是工程施行，还需要调整一些时间间隔参数，如记账更新间隔、hello time时间间隔、NAS与效劳器通信间隔等等。10、如何在设备上开启DHCP效劳，让不同VLAN下的电脑获得相应的IP地址？步骤一：配置VLAN网关IP地

19、址，及将相关端口划入相应的VLAN中S3760#con tS3760(config)#vlan 2 -创立VLAN2S3760(config-vlan)#exit -退回到全局配置形式下S3760(config)#vlan 3 -创立VLAN3S3760(config-vlan)#exit -退回到全局配置形式下S3760(config)#int vlan 2 -设置VLAN2的IP地址S3760(config-if)#exit -退回到全局配置形式下S3760(config)#int vlan 3 -设置VLAN3的IP地址S3760(config-if)#exit -退回到全局配置形式下S

20、3760(config)#int f 0/2 -进入接口f0/2S3760(config-if)#switchport access vlan 2 -设置f0/2口属于VLAN2S3760(config-if)#exitS3760(config)#int f 0/3 -进入接口f0/3S3760(config-if)#switchport access vlan 3 -设置f0/3口属于VLAN3S3760(config-if)#exit步骤二：配置DHCP serverS3760 (config)#service dhcp -开启dhcp server功能S3760 (config)#ip

21、dhcp ping packets 1 -新建一个dhcp地址池名为test2S3760 (dhcp-config)# lease infinite -客户端的网关S3760(dhcp-config)#exitS3760(config)#ip dhcp pool test3 -新建一个dhcp地址池名为test3S3760(dhcp-config)# lease infinite11、如何对用户ip+mac+接口进展三元素绑定？S5750#confS5750(config)# int g0/23 -开启端口平安功能S5750(config)#end -退会特权形式S5750# wr -保存配置

22、注释：可以通过在接口下设置最大的平安地址个数从而来控制控制该接口下可使用的主机数，平安地址的个数跟交换机的硬件资源有关12、如何在交换机上通过mac地址控制部分主机对网络的访问？1、创立mac访问控制列表创立方式1：S5750AenS5750A#conS5750A5750A S5750A(config)#access-list 700 permit any any -允许其他所有访问创立方式2：S5750AenS5750A#conS5750A(config)#mac access-list extended ZHOU -创立mac访问控制列表名为ZHOUS5750A5750A5750A(con

23、fig-mac-nacl)#permit any any -允许其他所有访问S5750A(config-mac-nacl)#exit2、将mac访问控制列表应用到端口或者vlan下应用方式1应用到端口下S5750A(config)#interface gigabitEthernet 0/10 -进入需要进展控制的端口S5750A(config-if-GigabitEthernet 0/10)#mac access-group 700 in-将之前创立的ACL 700应用到端口下S5750A(config-if-GigabitEthernet 0/10)#exit应用方式2应用到vlan下S57

24、50A(config)#interface vlan 10-进入需要控制的vlan，例如vlan 10S5750A(config-if-VLAN 10)#mac access-group 700 in-应用创立好的ACL 700S5750A(config-if-VLAN 10)#endS5750A#wr说明：10.X平台两种创立方式都可以用，非10.X平台采用创立方式2 。13、如何实现只有在指定时段内才可以访问效劳？步骤一：定义不允许访问的时段S3760(config)# time-range ff-定义一个时间段名为ffS3760(config-time-range)#periodic d

25、aily 00:00 to 07:59 S3760(config-time-range)#periodic daily 22:00 to 23:59-说明只有8点到22点可以访问S3760(config-tiem-range)# exit -其余不受限制，允许通过步骤三：将ACL应用到接口上S3760(config)# interface f0/20S3760(config-if)#ip access-list 101 in-在需要控制的接口下应用S3760(config)# exit 注释：在定义时间段时注意，定义的时间段不能跨越0点，所以这里需要划分成两段来配置；在限制访问FTP时，因为会使用到随机端口，所以无法把时段定义成允许访问的时段，否那么数据不通，其他应用的限制需看情况而定。应用ACL时，建议应用在物理接口的in方向。14、如何实现主机A可以访问主机B的FTP资源，但主机B无法访问主机A的FTP资源？步骤一：定义ACLS5750#conf t -进入全局配置形式S5750(config)#ip access-list extended 1