锐捷交换机和路由器的配置案例锐捷知道.docx
《锐捷交换机和路由器的配置案例锐捷知道.docx》由会员分享,可在线阅读,更多相关《锐捷交换机和路由器的配置案例锐捷知道.docx(29页珍藏版)》请在冰点文库上搜索。
锐捷交换机和路由器的配置案例锐捷知道
交换机和路由器的配置案例〔来自锐捷工程师的答复〕
一、交换机部分
1、RG-S3760-24 QOS 如何配置?
----定义要限速的IP
步骤二:
创立规那么类,应用之前定义的主机范围
S3760(config)#class-mapxiansu101 ----创立class-map,名字为xiansu101
S3760(config-cmap)#matchaccess-group101 ----匹配IP地址
S3760(config-cmap)#exit
S3760(config)#class-mapxiansu102 ----创立class-map,名字为xiansu102
S3760(config-cmap)#matchaccess-group102 ----匹配IP地址
S3760(config-cmap)#exit
步骤三:
创立策略类:
应用之前定义的规那么,配置限速大小
S3760(config)#policy-mapxiansu ----创立policy-map,名字为xiansu
S3760(config-pmap)#classxiansu101 ----符合classxiansu101
S3760(config-pmap-c)#police8000512exceed-actiondrop ----限速值为8000Kbit〔1MB〕
S3760(config-pmap)#classxiansu102 ----符合classxiansu102
S3760(config-pmap-c)#police4000512exceed-actiondrop ----限速值为4000Kbit
S3760(config-pmap-c)#end
步骤四:
进入接口,应用之前定义的策略
S3760#conf
S3760(config)#intfa0/10 ----进入接口
S3760(config-if)#service-policyinputxiansu ----将该限速策略应用在这个接口上
注释:
1.通过QOS限制上行流量
2.推荐在S2924G,S3250和S3760上应用该功能
2、RG-S2652G-E如何配置某台电脑不能上网,我的意思就是如何在交换机上面添加命令,设置某个网卡地址不能通过此交换机上网而不影响其他机器!
步骤一:
定义ACL
S2652G#conft ----进入全局配置形式
S2652G(config)#ipaccess-listex test ----定义扩展的ACL
S2652G 2652G(config-std-nacl)#denyipanyany ----回绝访问其他任何资源
S2652G(config-std-nacl)#exit ----退出标准ACL配置形式
步骤二:
将ACL应用到接口上
S2652G(config)#interfacefastEthernet0/1 ----进入所需应用的端口
S2652G(config-if)#ipaccess-grouptestin ----将标准ACL应用到端口in方向
3、如何对用户ip+mac+接口进展三元素绑定?
S5750#conf
S5750(config)#intg0/23 ----开启端口平安功能
S5750(config)#end ----退会特权形式
S5750#wr ----保存配置
注释:
可以通过在接口下设置最大的平安地址个数从而来控制控制该接口下可使用的主机数,平安地址的个数跟交换机的硬件资源有关
4、
s2328G#conf
s2328G(config)#ipaccess-listextest
S2328G2328G2328G(config-ext-nacl)#permit2328G2328G2328G2328G2328G2328G2328G(config-ext-nacl)#denyipanyany
S2328G(config-ext-nacl)#exit
s2328G(config)#intf0/3
s2328G(config)#ipaccess-grouptestin
5、
6、如何配置端口捆绑,进步交换机链接的带宽?
下面的例子是将二层的以太网接口0/1配置成二层AP5成员:
Ruijie#configureterminal
Ruijie(config)#interfacerangegigabitEthernet0/1
Ruijie(config-if-range)#port-group5
Ruijie(config-if-range)#end
您可以在全局配置形式下使用命令Ruijie(config)#interfaceaggregateportn(n
为AP号)来直接创立一个AP(假设APn不存在)。
注意:
将普通端口参加某个AP口后,当该端口再次从ap口退出时,普通端口上的原先
相关的配置可能会恢复为缺省的配置。
不同功能对ap口的成员的原有配置的处理
方式有所不同,因此建议在端口从ap口退出后,应查看并确认端口的配置。
7、如何通过QOS实行限速?
----定义要限速的IP
步骤二:
创立规那么类,应用之前定义的主机范围
S3760(config)#class-mapxiansu101 ----创立class-map,名字为xiansu101
S3760(config-cmap)#matchaccess-group101 ----匹配IP地址
S3760(config-cmap)#exit
S3760(config)#class-mapxiansu102 ----创立class-map,名字为xiansu102
S3760(config-cmap)#matchaccess-group102 ----匹配IP地址
S3760(config-cmap)#exit
步骤三:
创立策略类:
应用之前定义的规那么,配置限速大小
S3760(config)#policy-mapxiansu ----创立policy-map,名字为xiansu
S3760(config-pmap)#classxiansu101 ----符合classxiansu101
S3760(config-pmap-c)#police8000512exceed-actiondrop ----限速值为8000Kbit〔1MB〕
S3760(config-pmap)#classxiansu102 ----符合classxiansu102
S3760(config-pmap-c)#police4000512exceed-actiondrop ----限速值为4000Kbit
S3760(config-pmap-c)#end
步骤四:
进入接口,应用之前定义的策略
S3760#conf
S3760(config)#intfa0/10 ----进入接口
S3760(config-if)#service-policyinputxiansu ----将该限速策略应用在这个接口上
注释:
1.通过QOS限制上行流量
2.推荐在S2924G,S3250和S3760上应用该功能
8、如何限制交换机的端口下载速率?
Ruijie>en
Ruijie#con
Enterconfigurationcommands,oneperline. EndwithCNTL/Z.
Ruijie(config)#intgi0/1 ----进入接口GigabitEthernet0/1
Ruijie(config-if-GigabitEthernet0/1)#rate-limitoutput?
<312-1000000> KBitspersecond ----限速范围312Kbits-1000M
Ruijie(config-if-GigabitEthernet0/1)#rate-limitoutput1000?
<4-16384> Kburstbytes:
4,8,16,...,1024,2*1024,4*1024,...,16*1024
----设置猝发流量限制值。
需设置4,8,16等值。
Ruijie(config-if-GigabitEthernet0/1)#rate-limitoutput1000256
----设置Gi0/1端口限速1M,猝发流量256K
Ruijie(config-if-GigabitEthernet0/1)#end
Ruijie#*Jan1310:
02:
17:
%SYS-5-CONFIG_I:
Configuredfromconsolebyconsole
Ruijie#wr
删除该端口限速配置:
Ruijie(config-if-GigabitEthernet0/1)#norate-limitoutput
注释:
1. Rate-limit基于端口限速,非基于IP;
2. 支持rate-limit的output方向;
限制下载速率较准确。
9、交换机dot1x认证配置?
以与SAM认证环境为例的简易配置
适用于10.x软件平台交换机〔如23系列等〕:
S2328G(config)#aaanew-model ---开启aaa认证
S2328G(config)#aaaaccountingupdate ---开启记账更新
S2328G(config)#aaaaccountingnetworkdefaultstart-stopgroupradius
---配置记账功能
S2328G(config)#aaagroupserverradiusdefault
S2328G ---定义记账效劳器IP
S2328G ---定义认证效劳器IP
S2328G(config)#radius-serverkey0ruijie ---配置Radiuskey为ruijie
S2328G(config)#snmp-servercommunityruijierw ---配置团体名ruijie,属性为rw
S2328G(config)#aaaauthenticationlogindefaultgroupradiuslocalnone
---配置登入设备的认证方法〔见注释〕
S2328G(config)#aaaauthenticationdot1xdefaultgroupradiuslocalnone ---配置dot1x认证方法
S2328G(config)#dot1xaccountingdefault ---开启dot1x记账功能
S2328G(config)#dot1xauthenticationdefault ---开启dot1x认证功能
S2328G(config)#dot1xclient-probeenable ---配置hello功能
S2328G(config)#interfaceGigabitEthernet0/1
S2328G(config-if)#dot1xport-controlauto ---在接入PC的端口上使能dot1x认证
S2328G(config-if)#dot1xdynamic-vlanenable ---在接入PC的端口上使能VLAN跳转
适用于非10.x软件平台的交换机〔如21系列等等〕:
S2328G(config)#aaaauthenticationdot1x ---翻开802.1x
S2328G(config)#aaaaccounting ---翻开计费功能
S2328G ---配置认证效劳器IP
S2328G ---配置计费效劳器IP
S2328G(config)#radius-serverkeyruijie ---配置Radiuskey为ruijie
S2328G(config)#snmp-servercommunityruijierw ---配置团体名ruijie,属性为rw
S2328G(config)#aaaaccountingupdate ---翻开计费更新
S2328G(config)#dot1xclient-probeenable ---开启hello功能
S2328G(config)#interfaceGigabitEthernet0/1
S2328G(config-if)#dot1xport-controlauto ---在接入PC的端口上使能dot1x认证
S2328G(config-if)#dot1xdynamic-vlanenable ---在接入PC的端口上使能VLAN跳转
注释:
1〕 在10.x平台的配置中,aaaauthenticationlogindefaultgroupradiuslocalnone针对这条命令,假设登入设备时不希望提示用户名和密码,那么修改为:
aaaauthenticationlogindefaultnone;假设想用在交换机本地验证用户名和密码,那么修改为aaaauthenticationlogindefaultlocal。
本配置模板只供初学者或实验使用,假设是工程施行,还需要调整一些时间间隔参数,如记账更新间隔、hellotime时间间隔、NAS与效劳器通信间隔等等。
10、如何在设备上开启DHCP效劳,让不同VLAN下的电脑获得相应的IP地址?
步骤一:
配置VLAN网关IP地址,及将相关端口划入相应的VLAN中
S3760#cont
S3760(config)#vlan2 ----创立VLAN2
S3760(config-vlan)#exit ----退回到全局配置形式下
S3760(config)#vlan3 ----创立VLAN3
S3760(config-vlan)#exit ----退回到全局配置形式下
S3760(config)#intvlan2
----设置VLAN2的IP地址
S3760(config-if)#exit ----退回到全局配置形式下
S3760(config)#intvlan3
----设置VLAN3的IP地址
S3760(config-if)#exit ----退回到全局配置形式下
S3760(config)#intf0/2 ----进入接口f0/2
S3760(config-if)#switchportaccessvlan2
----设置f0/2口属于VLAN2
S3760(config-if)#exit
S3760(config)#intf0/3 ----进入接口f0/3
S3760(config-if)#switchportaccessvlan3 ----设置f0/3口属于VLAN3
S3760(config-if)#exit
步骤二:
配置DHCPserver
S3760(config)#servicedhcp ----开启dhcpserver功能
S3760(config)#ipdhcppingpackets1
----新建一个dhcp地址池名为test2
S3760(dhcp-config)#leaseinfinite ----客户端的网关
S3760(dhcp-config)#exit
S3760(config)#ipdhcppooltest3 ----新建一个dhcp地址池名为test3
S3760(dhcp-config)#leaseinfinite
11、如何对用户ip+mac+接口进展三元素绑定?
S5750#conf
S5750(config)#intg0/23 ----开启端口平安功能
S5750(config)#end ----退会特权形式
S5750#wr ----保存配置
注释:
可以通过在接口下设置最大的平安地址个数从而来控制控制该接口下可使用的主机数,平安地址的个数跟交换机的硬件资源有关
12、如何在交换机上通过mac地址控制部分主机对网络的访问?
1、创立mac访问控制列表
创立方式1:
S5750A>en
S5750A#con
S5750A5750A
S5750A(config)#access-list700permitanyany --允许其他所有访问
创立方式2:
S5750A>en
S5750A#con
S5750A(config)#macaccess-listextendedZHOU
--创立mac访问控制列表名为ZHOU
S5750A 5750A5750A(config-mac-nacl)#permitanyany --允许其他所有访问
S5750A(config-mac-nacl)#exit
2、将mac访问控制列表应用到端口或者vlan下
应用方式1——应用到端口下
S5750A(config)#interfacegigabitEthernet0/10 --进入需要进展控制的端口
S5750A(config-if-GigabitEthernet0/10)#macaccess-group700in
--将之前创立的ACL 700应用到端口下
S5750A(config-if-GigabitEthernet0/10)#exit
应用方式2——应用到vlan下
S5750A(config)#interfacevlan10 --进入需要控制的vlan,例如vlan10
S5750A(config-if-VLAN10)#macaccess-group700in --应用创立好的ACL700
S5750A(config-if-VLAN10)#end
S5750A#wr
说明:
10.X平台两种创立方式都可以用,非10.X平台采用创立方式2。
13、如何实现只有在指定时段内才可以访问效劳?
步骤一:
定义不允许访问的时段
S3760(config)#time-rangeff ---定义一个时间段名为ff
S3760(config-time-range)#periodicdaily00:
00to07:
59
S3760(config-time-range)#periodicdaily22:
00to23:
59
--说明只有8点到22点可以访问
S3760(config-tiem-range)#exit
--其余不受限制,允许通过
步骤三:
将ACL应用到接口上
S3760(config)#interfacef0/20
S3760(config-if)#ipaccess-list101in --在需要控制的接口下应用
S3760(config)#exit
注释:
在定义时间段时注意,定义的时间段不能跨越0点,所以这里需要划分成两段来配置;
在限制访问FTP时,因为会使用到随机端口,所以无法把时段定义成允许访问的时段,否那么数据不通,其他应用的限制需看情况而定。
应用ACL时,建议应用在物理接口的in方向。
14、如何实现主机A可以访问主机B的FTP资源,但主机B无法访问主机A的FTP资源?
步骤一:
定义ACL
S5750#conft ----进入全局配置形式
S5750(config)#ipaccess-listextended1