锐捷交换机路由器常用配置操作.docx
《锐捷交换机路由器常用配置操作.docx》由会员分享,可在线阅读,更多相关《锐捷交换机路由器常用配置操作.docx(20页珍藏版)》请在冰点文库上搜索。
锐捷交换机路由器常用配置操作
1.1通过TELNET方式来配置设备
提问:
如何通过telnet方式来配置设备?
答复:
步骤一:
配置VLAN1的IP地址
S5750>en----进入特权形式
S5750#conf----进入全局配置形式
S5750(config)#intvlan1----进入vlan1接口
S5750(config-if)#ipaddress192.168.0.230255.255.255.0
----为vlan1接口上设置管理ip
S5750(config-if)#exit----退回到全局配置形式
步骤二:
配置telnet密码
S5750(config)#linevty04----进入telnet密码配置形式
S5750(config-line)#login---启用需输入密码才能telnet成功
S5750(config-line)#passwordrscstar----将telnet密码设置为rscstar
S5750(config-line)#exit----回到全局配置形式
S5750(config)#enablesecretlevel150rscstar
----配置进入特权形式的密码为rscstar
1.2更改IOS命令的特权等级
提问:
如何只允许dixy这个用户使用与ARP相关的命令?
答复:
S5750(config)#usernamedixypassworddixy----设置dixy用户名和密码
S5750(config)#usernamedixyprivilege10----dixy帐户的权限为10
S5750(config)#privilegeexeclevel10showarp
----权限10可以使用showarp命令
S5750(config)#privilegeconfigalllevel10arp
----权限10可以使用所有arp打头的命令
S5750(config)#linevty04----配置telnet登陆用户
S5750(config-line)#nopassword
S5750(config-line)#loginlocal
设备时钟设置
提问:
如何设置设备时钟?
答复:
S5750#clockset12:
45:
5511252021
----设置时间为2021年11月25日12点45分55秒
S5750#clockupdate-calendar----设置日历更新
S5750(config)#clocktimezoneCN822----时间名字为中国,东8区22分
2.1交换机vlan和trunk的配置
提问:
如何在交换机上划分vlan,配置trunk接口?
答复:
步骤一:
给交换机配置IP地址
S2724G#conf
S2724G(config)#intvlan1
----给VLAN1配置IP地址
S2724G(config-if)#noshutdown----激活该VLAN接口
S2724G(config-if)#exit
S2724G(config)#ipdefault-gateway192.168.0.1---指定交换机的网关地址
步骤二:
创立VLAN
S2724G#conf
S2724G(config)#vlan10----创立VLAN10
S2724G(config-vlan)#exit
S2724G(config)#vlan20----创立VLAN20
S2724G(config-vlan)#exit
步骤三:
把相应接口指定到相应的VLAN中
S2724G(config)#intgi0/10
S2724G(config-if)#switchaccessvlan10----把交换机的第10端口划到VLAN10中
S2724G(config-if)#exit
S2724G(config)#intgi0/20
S2724G(config-if)#switchaccessvlan20----把交换机的第20端口划到VLAN20中
S2724G(config-if)#exit
S2724G(config)#intgi0/24
S2724G(config-if)#switchmodetrunk----设置24口为Trunk形式〔与三层交换机的连接口
S2724G(config-if)#
步骤四:
保存配置
S2724G(config-if)#end
S2724G#write
2.2turnk接口修剪配置
提问:
如何让trunk接口只允许局部vlan通过?
答复:
Switch(config)#intfa0/24
Switch(config-if)#switchmodetrunk
Switch(config-if)#switchporttrunkallowedvlanremove10,20,30-40
----不允许VLAN10,20,30-40通过Trunk口
2.3PVLAN配置
提问:
如何实现几组用户之间的隔离,但同时又都能访问公用效劳?
答复:
步骤一:
创立隔离VLAN
S2724G#conf
S2724G(config)#vlan3----创立VLAN3
S2724G(config-vlan)#private-vlancommunity----将VLAN3设为隔离VLAN
S2724G(config)#vlan4----创立VLAN4
S2724G(config-vlan)#private-vlancommunity----将VLAN4设为隔离VLAN
S2724G(config-vlan)#exit----退回到特权形式
步骤二:
创立主VLAN
S2724G(config)#vlan2----进入VLAN2
S2724G(config-vlan)#private-vlanprimary----VLAN2为主VLAN
步骤三:
将隔离VLAN加到到主VLAN中
VLANS2724G(config-vlan)#private-vlanassociationadd3-4
----将VLAN3和VLAN4参加到公用VLAN中,VLAN3和VLAN4的用户可以访问公用接口
步骤四:
将实际的物理接口与VLAN相对应
S2724G(config)#interfaceGigabitEthernet0/1
----进入接口1,该接口连接效劳器或者上联设备
S2724G(config-if)#switchportmodeprivate-vlanpromiscuous
----接口形式为混杂形式
S2724G(config-if)#switchportprivate-vlanmapping2add3-4
----将VLAN3和VLAN4映射到VLAN2上
S2724G(config)#intgi0/10----进入接口10
S2724G(config-if)#switchportmodeprivate-vlanhost
S2724G(config-if)#switchportprivate-vlanhost-association23
----该接口划分入VLAN3
S2724G(config)#intgi0/20----进入接口20
S2724G(config-if)#switchportmodeprivate-vlanhost
S2724G(config-if)#switchportprivate-vlanhost-association24
----该接口划分入VLAN4
步骤五:
完成VLAN的映射
S2724G(config)#intvlan2----进入VLAN2的SVI接口
S2724G(config-if)#ipaddress192.168.2.1255.255.255.0
----配置VLAN2的ip地址
S2724G(config-if)#private-vlanmappingadd3-4
----将VLAN3和VLAN4参加到VLAN2中
注释:
1.S20、S21不支持私有VLAN,可以通过保护端口实现类似功能
2.S3250、S3750和S5750同时支持保护端口和私有VLAN
3.S3760不支持私有VLAN和保护端口
2.4端口会聚配置
提问:
如何将交换机的端口捆绑起来使用?
答复:
S5750#conf
S5750(config)#interfacerangegigabitEthernet0/1–4----同时进入1到4号接口
S5750(config-if)#port-group1----设置为聚合口1
S5750(config)#interfaceaggregateport1----进入聚合端口1
注意:
配置为AP口的接口将丧失之前所有的属性,以后关于接口的操作只能在AP1口上面进展
2.5生成树配置
提问:
如何配置交换机的生成树?
答复:
步骤一:
根桥的设置
switch_A#conft
switch_A(config)#spanning-tree---默认形式为MSTP
switch_A(config)#spanning-treemstconfiguration
switch_A(config)#spanning-treemst10priority4096---设置为根桥
步骤二:
非根桥的设置
switch_B#conft
switch_B(config)#spanning-tree---默认形式为MSTP
switch_B(config)#spanning-treemstconfiguration
switch_B(config)#intf0/1---PC的接入端口
switch_B(config)#spanning-treebpduguardenable
switch_B(config)#spanning-treeportfast
2.6端口镜像设置
提问:
如何配置交换机的端口镜像?
答复:
switch#conft
switch#(config)#
switch(config)#monitorsession1sourceinterfacegigabitEthernet3/1both
---监控源口为g3/1
switch(config)#monitorsession1destinationinterfacegigabitEthernet3/8switch---监控目的口为g3/8,并开启交换功能
注意:
S2026交换机镜像目的端口无法当做普通接口使用
3.1交换机地址绑定〔address-bind〕功能
提问:
如何对用户ip+mac进展两元素绑定?
答复:
S5750#conf
S5750(config)#address-bind192.168.0.1010016.d390.6cc5
----绑定ip地址为192.168.0.101MAC地址为的主机让其使用网络
S5750(config)#address-binduplinkGigabitEthernet0/1
----将g0/1口设置为上联口,也就是交换机通过g0/1的接口连接到路由器或是出口设备,假如接口选择错误会导致整网不通
S5750(config)#address-bindinstall----使能address-bind功能
S5750(config)#end----退回特权形式
S5750#wr----保存配置
注释:
1.假如修改ip或是MAC地址该主机那么无法使用网络,可以按照此命令添加多条,添加的条数跟交换机的硬件资源有关
2.S21交换机的address-bind功能是防止Ip冲突,只有在交换机上绑定的才进展ip和MAC的匹配,假如下边用户设置的ip地址在交换机中没绑定,交换机不对该数据包做控制,直接转发。
3.2交换机端口平安功能
提问:
如何对用户ip+mac+接口进展三元素绑定?
答复:
S5750#conf
S5750(config)#intg0/23----进入第23接口,准备在该接口绑定用户的MAC和ip地址
S5750(config-if)#switchportport-securitymac-address0016.d390.6cc5ip-address192.168.0.101
----在23端口下绑定ip地址是192.168.0.101MAC地址是的主机,确保该主机可以正常使用网络,假如该主机修改ip或者MAC地址那么无法使用网络,可以添加多条来实现对接入主机的控制
S5750(config-if)#switchportport-security----开启端口平安功能
S5750(config)#end----退会特权形式
S5750#wr----保存配置
注释:
可以通过在接口下设置最大的平安地址个数从而来控制控制该接口下可使用的主机数,平安地址的个数跟交换机的硬件资源有关
3.3交换机arp-check功能
提问:
如何防止错误的arp信息在网络里传播?
答复:
S5750#conf
S5750(config)#intg0/23----进入第23接口,准备在该接口绑定用户的MAC和ip地址
S5750(config-if)#switchportport-securitymac-address0016.d390.6cc5ip-address192.168.0.101----ip+mac绑定信息
S5750(config-if)#switchportport-security----开启端口平安功能
S5750(config-if)#switchportport-securityarp-check----开启端arp检查功能
S5750(config)#end----退会特权形式
S5750#wr----保存配置
注释:
开启arp-check功能后平安地址数减少一半,详细情况请查阅交换机配置指南
3.4交换机ARP动态检测功能(DAI)
提问:
如何在动态环境下防止ARP欺骗?
答复:
步骤一:
配置DHCPsnooping
S3760#cont
S3760(config)#ipdhcpsnooping----开启dhcpsnooping
S3760(config)#intf0/1
S3760(config-if)#ipdhcpsnoopingtrust----设置上连口为信任端口〔注意:
缺省所有端口都是不信任端口〕,只有此接口连接的效劳器发出的DHCP响应报文才可以被转发.
S3760(config-if)#exit
S3760(config)#intf0/2
S3760(config-if)#ipdhcpsnoopingaddress-bind
----配置DHCPsnooping的地址绑定功能
S3760(config-if)#exit
S3760(config)#intf0/3
S3760(config-if)#ipdhcpsnoopingaddress-bind
----配置DHCPsnooping的地址绑定功能
步骤二:
配置DAI
S3760(config)#iparpinspection----启用全局的DAI
S3760(config)#iparpinspectionvlan2----启用vlan2的DAI报文检查功能
S3760(config)#iparpinspectionvlan3----启用vlan3的DAI报文检查功能
4.1标准ACL配置
提问:
如何只允许端口下的用户只能访问特定的效劳器网段?
答复:
步骤一:
定义ACL
S5750#conft----进入全局配置形式
S5750(config)#ipaccess-liststandard1----定义标准ACL
S5750(config-std-nacl)#permit192.168.1.00.0.0.255----允许访问效劳器资源
S5750(config-std-nacl)#denyany----回绝访问其他任何资源
S5750(config-std-nacl)#exit----退出标准ACL配置形式
步骤二:
将ACL应用到接口上
S5750(config)#interfaceGigabitEthernet0/1----进入所需应用的端口
S5750(config-if)#ipaccess-group1in----将标准ACL应用到端口in方向
注释:
1.S1900系列、S20系列交换机不支持基于硬件的ACL。
2.实际配置时需注意,在交换机每个ACL末尾都隐含着一条“回绝所有数据流〞的语句。
3. 以上所有配置,均以锐捷网络S5750-24GT/12SFP软件版本〔2〕为例。
其他说明,其详见各产品的配置手册?
访问控制列表配置?
一节。
4.2扩展ACL配置
提问:
如何制止用户访问单个网页效劳器?
答复:
步骤一:
定义ACL
S5750#conft----进入全局配置形式
S5750(config)#ipaccess-listextended100----创立扩展ACL
S5750(config-ext-nacl)#denytcpanyhost192.168.1.254eqwww
----制止访问web效劳器
S5750(config-ext-nacl)#denytcpanyanyeq135----预防冲击波病毒
S5750(config-ext-nacl)#denytcpanyanyeq445----预防震荡波病毒
S5750(config-ext-nacl)#permitipanyany----允许访问其他任何资源
S5750(config-ext-nacl)#exit----退出ACL配置形式
步骤二:
将ACL应用到接口上
S5750(config)#interfaceGigabitEthernet0/1----进入所需应用的端口
S5750(config-if)#ipaccess-group100in----将扩展ACL应用到端口下
4.3VLAN之间的ACL配置
提问:
如何制止VLAN间互相访问?
答复:
步骤一:
创立vlan10、vlan20、vlan30
S5750#conf----进入全局配置形式
S5750(config)#vlan10----创立VLAN10
S5750(config-vlan)#exit----退出VLAN配置形式
S5750(config)#vlan20----创立VLAN20
S5750(config-vlan)#exit----退出VLAN配置形式
S5750(config)#vlan30----创立VLAN30
S5750(config-vlan)#exit----退出VLAN配置形式
4.4单向ACL的配置
提问:
如何实现主机A可以访问主机B的FTP资源,但主机B无法访问主机A的FTP资源?
?
答复:
步骤一:
定义ACL
S5750#conft----进入全局配置形式
S5750(config)#ipaccess-listextended100----定义扩展ACL
S5750(config-ext-nacl)#denytcpanyhost192.168.1.254match-allsyn
----制止主动向A主机发起TCP连接
S5750(config-ext-nacl)#permitipanyany----允许访问其他任何资源
S5750(config-ext-nacl)#exit----退出扩展ACL配置形式
步骤二:
将ACL应用到接口上
S5750(config)#interfaceGigabitEthernet0/1----进入连接B主机的端口
S5750(config-if)#ipaccess-group100in----将扩展ACL应用到端口下
S5750(config-if)#end----退回特权形式
S5750#wr----保存
注释:
单向ACL只能对应于TCP协议,使用PING无法对该功能进展检测
5.1DHCP效劳配置
提问:
如何在设备上开启DHCP效劳,让不同VLAN下的电脑获得相应的IP地址?
答复:
步骤一:
配置VLAN网关IP地址,及将相关端口划入相应的VLAN中
S3760#cont
S3760(config)#vlan2----创立VLAN2
S3760(config-vlan)#exit----退回到全局配置形式下
S3760(config)#vlan3----创立VLAN3
S3760(config-vlan)#exit----退回到全局配置形式下
S3760(config)#intvlan2----进入配置VLAN2
----设置VLAN2的IP地址
S3760(config-if)#exit----退回到全局配置形式下
S3760(config)#intvlan3----进入配置VLAN3
S3760(config-if)#ipadd192.168.3.1255.255.255.0----设置VLAN3的IP地址
5.2交换机dot1x认证配置
提问:
如何在交换机上开启dot1x认证?
答复:
步骤一:
根本AAA配置
Switch#conf
Switch(config)#aaanew-model----启用认证
Switch(config)#aaaaccountingnetworkteststart-stopgroupradius
----配置身份认证方法
Switch(config)#aaagroupserverradiustest
Switch(config-gs-radius)