锐捷交换机和路由器的配置案例锐捷知道Word文件下载.docx
《锐捷交换机和路由器的配置案例锐捷知道Word文件下载.docx》由会员分享,可在线阅读,更多相关《锐捷交换机和路由器的配置案例锐捷知道Word文件下载.docx(45页珍藏版)》请在冰点文库上搜索。
S3760(config-cmap)#matchaccess-group102
步骤三:
创建策略类:
应用之前定义的规则,配置限速大小
S3760(config)#policy-mapxiansu
----创建policy-map,名字为xiansu
S3760(config-pmap)#classxiansu101
----符合classxiansu101
S3760(config-pmap-c)#police8000512exceed-actiondrop
----限速值为8000Kbit(1MB)
S3760(config-pmap)#classxiansu102
----符合classxiansu102
S3760(config-pmap-c)#police4000512exceed-actiondrop
----限速值为4000Kbit
S3760(config-pmap-c)#end
步骤四:
进入接口,应用之前定义的策略
S3760(config)#intfa0/10
----进入接口
S3760(config-if)#service-policyinputxiansu
----将该限速策略应用在这个接口上
注释:
1.通过QOS限制上行流量
2.推荐在S2924G,S3250和S3760上应用该功能
2、RG-S2652G-E如何配置某台电脑不能上网,我的意思就是如何在交换机上面添加命令,设置某个网卡地址不能通过此交换机上网而不影响其他机器!
范例:
受限的ip:
192.168.1.2
定义ACL
S2652G#conft
----进入全局配置模式
S2652G(config)#ipaccess-listex
test
----定义扩展的ACL
S2652G(config-std-nacl)#permitiphost192.168.1.2192.168.1.0
255.255.255.0
----只允许访问内网
S2652G(config-std-nacl)#denyipanyany
----拒绝访问其他任何资源
S2652G(config-std-nacl)#exit
----退出标准ACL配置模式
将ACL应用到接口上
S2652G(config)#interfacefastEthernet0/1
----进入所需应用的端口
S2652G(config-if)#ipaccess-grouptestin
----将标准ACL应用到端口in方向
3、如何对用户ip+mac+接口进行三元素绑定?
S5750#conf
S5750(config)#intg0/23
----进入第23接口,准备在该接口绑定用户的MAC和ip地址
S5750(config-if)#switchportport-securitymac-address0016.d390.6cc5ip-address192.168.0.101
----在23端口下绑定ip地址是192.168.0.101MAC地址是0016.d390.6cc5的主机,确保该主机可以正常使用网络,如果该主机修改ip或者MAC地址则无法使用网络,可以添加多条来实现对接入主机的控制
S5750(config-if)#switchportport-security
----开启端口安全功能
S5750(config)#end
----退会特权模式
S5750#wr
----保存配置
可以通过在接口下设置最大的安全地址个数从而来控制控制该接口下可使用的主机数,安全地址的个数跟交换机的硬件资源有关
4、如果我想在交换机s2328的0/3这个端口中只允许"
192.168.1.11至192.168.1.19"
这几个IP地址通过,请问配置时如何实现?
我需要具体的方式
s2328G#conf
s2328G(config)#ipaccess-listextest
S2328G(config-ext-nacl)#permitiphost192.168.1.11any
S2328G(config-ext-nacl)#permitiphost192.168.1.12any
S2328G(config-ext-nacl)#permitiphost192.168.1.13any
S2328G(config-ext-nacl)#permitiphost192.168.1.14any
S2328G(config-ext-nacl)#permitiphost192.168.1.15any
S2328G(config-ext-nacl)#permitiphost192.168.1.16any
S2328G(config-ext-nacl)#permitiphost192.168.1.17any
S2328G(config-ext-nacl)#permitiphost192.168.1.18any
S2328G(config-ext-nacl)#permitiphost192.168.1.19any
S2328G(config-ext-nacl)#denyipanyany
S2328G(config-ext-nacl)#exit
s2328G(config)#intf0/3
s2328G(config)#ipaccess-grouptestin
5、现在我在3760做了VLAN2,VLAN2的IP是10.121.63.254,255.255.255.0,然后我在防火墙里做了过滤,只允许10.121.63.250这个IP可以上网,其他的上不了。
现在我想把10.121.63.250这个IP与MAC地址为A.B.C.D的这台电脑绑定,让VLAN2里的其他电脑即使把IP修改为10.121.63.250也上不了网,不知道有没有办法。
但是有特殊情况的时候,就是整个VLAN里的电脑都要上外网,我在防火墙里的限制10.121.63.0/24的设置取消就可,我的37的版本是10.2的
S3760(config)#address-bind10.121.63.250aaaa.bbbb.cccc
----绑定ip地址为10.121.63.250MAC地址为aaaa.bbbb.cccc的主机让其使用网络
6、如何配置端口捆绑,提高交换机链接的带宽?
下面的例子是将二层的以太网接口0/1配置成二层AP5成员:
Ruijie#configureterminal
Ruijie(config)#interfacerangegigabitEthernet0/1
Ruijie(config-if-range)#port-group5
Ruijie(config-if-range)#end
您可以在全局配置模式下使用命令Ruijie(config)#interfaceaggregateportn(n
为AP号)来直接创建一个AP(如果APn不存在)。
注意:
将普通端口加入某个AP口后,当该端口再次从ap口退出时,普通端口上的原先
相关的配置可能会恢复为缺省的配置。
不同功能对ap口的成员的原有配置的处理
方式有所不同,因此建议在端口从ap口退出后,应查看并确认端口的配置。
7、如何通过QOS实行限速?
8、如何限制交换机的端口下载速率?
Ruijie>
Ruijie#con
Enterconfigurationcommands,oneperline.
EndwithCNTL/Z.
Ruijie(config)#intgi0/1
----进入接口GigabitEthernet0/1
Ruijie(config-if-GigabitEthernet0/1)#rate-limitoutput?
<
312-1000000>
KBitspersecond
----限速范围312Kbits-1000M
Ruijie(config-if-GigabitEthernet0/1)#rate-limitoutput1000?
4-16384>
Kburstbytes:
4,8,16,...,1024,2*1024,4*1024,...,16*1024
----设置猝发流量限制值。
需设置4,8,16等值。
Ruijie(config-if-GigabitEthernet0/1)#rate-limitoutput1000256
----设置Gi0/1端口限速1M,猝发流量256K
Ruijie(config-if-GigabitEthernet0/1)#end
Ruijie#*Jan1310:
02:
17:
%SYS-5-CONFIG_I:
Configuredfromconsolebyconsole
Ruijie#wr
删除该端口限速配置:
Ruijie(config-if-GigabitEthernet0/1)#norate-limitoutput
1.
Rate-limit基于端口限速,非基于IP;
2.
支持rate-limit的output方向;
限制下载速率较准确。
9、交换机dot1x认证配置?
以与SAM认证环境为例的简易配置
适用于10.x软件平台交换机(如23系列等):
S2328G(config)#aaanew-model
---开启aaa认证
S2328G(config)#aaaaccountingupdate
---开启记账更新
S2328G(config)#aaaaccountingnetworkdefaultstart-stopgroupradius
---配置记账功能
S2328G(config)#aaagroupserverradiusdefault
S2328G(config-gs-radius)#server192.168.204.57
---定义记账服务器IP
S2328G(config)#radius-serverhost192.168.204.57
---定义认证服务器IP
S2328G(config)#radius-serverkey0ruijie
---配置Radiuskey为ruijie
S2328G(config)#snmp-servercommunityruijierw
---配置团体名ruijie,属性为rw
S2328G(config)#aaaauthenticationlogindefaultgroupradiuslocalnone
---配置登入设备的认证方法(见注释)
S2328G(config)#aaaauthenticationdot1xdefaultgroupradiuslocalnone
---配置dot1x认证方法
S2328G(config)#dot1xaccountingdefault
---开启dot1x记账功能
S2328G(config)#dot1xauthenticationdefault
---开启dot1x认证功能
S2328G(config)#dot1xclient-probeenable
---配置hello功能
S2328G(config)#interfaceGigabitEthernet0/1
S2328G(config-if)#dot1xport-controlauto
---在接入PC的端口上使能dot1x认证
S2328G(config-if)#dot1xdynamic-vlanenable
---在接入PC的端口上使能VLAN跳转
适用于非10.x软件平台的交换机(如21系列等等):
S2328G(config)#aaaauthenticationdot1x
---打开802.1x
S2328G(config)#aaaaccounting
---打开计费功能
S2328G(config)#radius-serverhost192.168.5.183
---配置认证服务器IP
S2328G(config)#aaaaccountingserver192.168.5.183
---配置计费服务器IP
S2328G(config)#radius-serverkeyruijie
S2328G(config)#aaaaccountingupdate
---打开计费更新
---开启hello功能
---在接入PC的端口上使能dot1x认证
1)
在10.x平台的配置中,aaaauthenticationlogindefaultgroupradiuslocalnone针对这条命令,如果登入设备时不希望提示用户名和密码,则修改为:
aaaauthenticationlogindefaultnone;
如果想用在交换机本地验证用户名和密码,则修改为aaaauthenticationlogindefaultlocal。
本配置模板只供初学者或实验使用,若是工程实施,还需要调整一些时间间隔参数,如记账更新间隔、hellotime时间间隔、NAS与服务器通信间隔等等。
10、如何在设备上开启DHCP服务,让不同VLAN下的电脑获得相应的IP地址?
配置VLAN网关IP地址,及将相关端口划入相应的VLAN中
S3760#cont
S3760(config)#vlan2
----创建VLAN2
S3760(config-vlan)#exit
----退回到全局配置模式下
S3760(config)#vlan3
----创建VLAN3
S3760(config)#intvlan2
----进入配置VLAN2
S3760(config-if)#ipadd192.168.2.1255.255.255.0
----设置VLAN2的IP地址
S3760(config-if)#exit
S3760(config)#intvlan3
----进入配置VLAN3
S3760(config-if)#ipadd192.168.3.1255.255.255.0
----设置VLAN3的IP地址
S3760(config)#intf0/2
----进入接口f0/2
S3760(config-if)#switchportaccessvlan2
----设置f0/2口属于VLAN2
S3760(config-if)#exit
S3760(config)#intf0/3
----进入接口f0/3
S3760(config-if)#switchportaccessvlan3
----设置f0/3口属于VLAN3
配置DHCPserver
S3760(config)#servicedhcp
----开启dhcpserver功能
S3760(config)#ipdhcppingpackets1
----在dhcpserver分配IP时会先去检测将要分配的IP地址是否已有人使用,如果没人使用则分配,若已有人使用则再分配下一个IP
S3760(config)#ipdhcpexcluded-address192.168.2.1192.168.2.10
----设置排斥地址为192.168.2.1至192.168.2.10的ip地址不分配给客户端(可选配置)
S3760(config