锐捷交换机配置大全.docx
《锐捷交换机配置大全.docx》由会员分享,可在线阅读,更多相关《锐捷交换机配置大全.docx(17页珍藏版)》请在冰点文库上搜索。
锐捷交换机配置大全
利用NAT实现外网主机访问内网服务器
本实验主要是针对两个内容来做的。
第一,利用动态NAPT实现局域网访问互联网;这个内容通俗一点就是让许多的内网ip地址,转化为一个外网,可以上网的ip地址。
在这个内容之中,就又可以使用两种方法来做。
第一种:
利用地址池转换。
这个方法的原理就是制作一个地址池,然后把要转换的内网ip地址给写入地址池,然后,把地址池映射到要转化成的ip地址。
(要转化成的ip地址可以是一个,也可以是多个。
)第二种方法就是使用端口映射,这种方法的原理就是将要转化的内网ip地址给映射到端口号上面,不过这两个方法都有一个共同点,就是都需要写入一个access-list语句。
第二,利用NAT实现外网主机访问内网服务器;这个内容,讲的通俗一点就是让内网的一个服务器上的服务,改变ip成为外网能够上网的ip地址,从而让外面互联网上的机器可以使用到这个服务。
比如web服务。
S3760(config)#hostS1【将交换机的名字改为“S1”
S1(config)#vlan10【建立一个vlan,取名为10】
S1(config-vlan)#exit【推出此模式,进入端口模式】
S1(config)#vlan20
S1(config-vlan)#exit
S1(config)#intvlan10
S1(config-if)#ipadd192.168.10.1255.255.255.0【进入vlan模式,给他一个ip地址,并设定他的子网掩码为255.255.255.0
S1(config-if)#noshutdown【启用此vlan】
S1(config-if)#exit
S1(config)#intvlan20
S1(config-if)#ipadd192.168.20.1255.255.255.0
S1(config-if)#noshutdown
S1(config-if)#exit
S1(config)#intrafa0/1-10【当圈定多个端口的时候,要加ra】
S1(config-if-range)#swacvlan10【把圈定的端口给vlan10】
S1(config-if-range)#exit【推出此模式】
S1(config)#intrafa0/11-20
S1(config-if-range)#swacvlan20
S1(config-if-range)#exit
S1(config)#intfa0/24【进入24端口】
S1(config-if)#nosw【使用tab键补全命令】
S1(config-if)#noswitchport【启用三层接口】
S1(config-if)#ipadd172.16.1.1255.255.255.248【给此接口一个ip地址,并配置子网掩码】
S1(config-if)#noshutdown【启用端口】
S1(config-if)#exit
Red-Giant(config)#hostR1【命名路由器】
R1(config)#intf1/0
R1(config-if)#ipadd172.16.1.2255.255.255.248
R1(config-if)#noshutdown
R1(config-if)#exit
R1(config)#ints1/2
R1(config-if)#clockrate57600【由于此路由器是DCE,所以需要配置时钟。
】
R1(config-if)#enc
R1(config-if)#encapsulationppp【启用此路由器的这个端口】
R1(config-if)#ipadd172.16.1.9255.255.255.248
R1(config-if)#noshutdown
R1(config-if)#exit
Red-Giant>
Red-Giant>ena
Red-Giant#conf
Red-Giant(config)#hostR2
R2(config)#ints1/2
R2(config-if)#enc
R2(config-if)#encapsulationppp
R2(config-if)#ipadd172.16.1.10255.255.255.248
R2(config-if)#nosht
R2(config-if)#noshtudown
R2(config-if)#exit
R2(config)#intf1/0
R2(config-if)#ipadd192.168.30.254255.255.255.0
R2(config-if)#noshutdown
R2(config-if)#exit
R2(config)#routerospf【进入ospf配置模式。
】
R2(config-router)#network192.168.30.00.0.0.255area0【此条命令的意思就是:
向外发布一个信息,相当就是‘我这里连接了这个网络,你们可以通过我这里,连接这个网络’。
特别要注意的就是,在这个语句里面,使用的反子网掩码。
后面的area0表示的是他们连接到的是0这个区域,这里我们可以理解为,在这一步中就设定里这么一个区域,就是这个“0”,所以如果是做别ospf多区域实验的时候我们就可以通过改变它的区域来控制他们的通信。
】
R2(config-router)#network172.16.1.80.0.0.7area0
R2(config-router)#exit
R1(config)#
R1(config)#routerospf
R1(config-router)#network172.16.1.80.0.0.7area0
R1(config-router)#network172.16.1.00.0.0.7area0
R1(config-router)#exit
S1(config)#routerospf
S1(config-router)#network192.168.10.00.0.0.255area0
S1(config-router)#network192.168.20.00.0.0.255area0
S1(config-router)#network172.16.1.00.0.0.7area0
S1(config-router)#exit
S1(config)#
R1(config)#intf1/0【进入这个端口的配置模式】
R1(config-if)#ipnatinside【这一步的命令是指出,哪一端口是这个路由器上的内接,哪一个端口是这个路由器的外接端口。
Inside内接端口,outside外接端口。
】
R1(config-if)#exit
R1(config)#ints1/2
R1(config-if)#ipnatoutside
R1(config-if)#exit
R1(config)#ipnatpoolzmq172.16.1.11172.16.1.11netmask255.255.255.248【向172.16.1.11这个ip地址申请一个地址池,然后,写出他的子网掩码。
R1(config)#access-list10permit192.168.10.00.0.0.255【允许192.168.10这个网段加入list10。
在这里非常重要的一点就是在这里这个网段写入了list10这个里面,list10是在地址池里面设定的。
】
R1(config)#ipnatinsidesourcelist10poolzmqoverload【允许,内网里面的list10这个条目里面的所有网段去访问向外面申请的地址池中,从而实现通信。
】
R2(config)#ints1/2
R2(config-if)#ipnatoutside
R2(config-if)#exit
R2(config)#intf1/0
R2(config-if)#ipnatinside
R2(config-if)#exit
R2(config)#ipnatinsidesourcestatictcp192.168.30.180ints1/280
R2(config)#ipnatinsidesourcestatictcp192.168.30.1
53ints1/253
R2(config)#ipnatinsidesourcestaticudp192.168.30.153ints1/253【在这里就是一个实现外网主机访问内网服务器的一个命令,这个命令与前面的实现局域网访问互联网有异曲同工之妙,不过要在后面加上一个static,在这个语句里面要注意的就是在这里有端口之分,web服务为80端口,DNS服务为53端口。
Tcp服务中包括了web服务dns服务,不过为了保险操作,dns服务属于udp,所以在做dns服务的时候最好还是加上一条udp的服务。
】
Red-Giant(config)#ipnatinsidesourcestatic192.168.10.1110.1.1.3
如上理解:
static是静态的意思,所以这就是net上网的静态转换了。
不和前面的一样,第一个是本方需要上网的地址,后面是申请的透过上网的ip地址。
与前面的nat动态转换有所不同。
可以理解为向外面宣告上网的。
同服务宣告。
快速生成树协议
所谓的快速生成树协议,就是构建一条备用通道,相当于做一个备份,当一条线路发生故障的时候,另外一体线路能够马上的做出反应,保障线路的正常工作。
S3760(config)#hostS1
S1(config)#intf0/24
S1(config-if)#swmotrunk【此命令为启用24为串口;串口,这个模式的作用就是在此交换机上面的每一个vlan中都会存在此端口,所以,一旦有了串口就可以使得不同的vlan之间实行通信。
】
S1(config-if)#exit
S1(config)#intf0/23
S1(config-if)#swmotrun
S1(config-if)#swmotrunk
S1(config-if)#exit
S1(config)#spanning-tree【此命令的意义在于将这个交换机启用生成树。
】
Enablespanning-tree
S1(config)#spanning-treemoderstp【此命令的意义在于:
将这个交换机的生成树协议规定为rstp。
】
S3760>ena
S3760#conf
S3760(config)#hostS2
S2(config)#intf0/24
S2(config-if)#swmotrunk
S2(config-if)#exit
S2(config)#intf0/23
S2(config-if)#swmotrunk
S2(config-if)#exit
S2(config)#spanning-treemod
S2(config)#spanning-treemodrstp
S1(config)#showspanning-tree【这个命令类似于查询的功能,在这个查询结果中,我们一般都是查看他的最后两项。
如果最后两项的数字为0,或者是小于其他的交换机的,及此交换机为根交换机,如果最后两位的数字,比较大,则此交换机不是根交换机。
】
StpVersion:
RSTP
SysStpStatus:
ENABLED
MaxAge:
20
HelloTime:
2
ForwardDelay:
15
BridgeMaxAge:
20
BridgeHelloTime:
2
BridgeForwardDelay:
15
MaxHops:
20
TxHoldCount:
3
PathCostMethod:
Long
BPDUGuard:
Disabled
BPDUFilter:
Disabled
BridgeAddr:
001a.a90a.be32
Priority:
32768
TimeSinceTopologyChange:
0d:
0h:
0m:
21s
TopologyChanges:
1
DesignatedRoot:
8000.001a.a909.3208
RootCost:
200000
RootPort:
24
S2(config)#intf0/24
S2(config-if)#spanning-treeport-priority16【更改交换机的根端口】
S1(config)#spanning-treepriority4096【更改根交换机】
【只有不是根交换机的机器才会有根端口,根端口为和根交换机相连的那一段,如果有像这次一样的那么最后一个“RootPort”后显示的为根端口,如这里的24.判断是否为根端口是由两种数据来决定的。
第一:
他们的优先级。
第二:
他们的端口号。
如果一个是23,另外一个为24,在他们的优先级是同样的情况下,23为他们的根端口。
我们不能修改他们的端口号,所以我们一般要修改根端口的时候都是修改端口的优先级。
更改根端口的时候最后一位的数字必须是16的倍数,数字越是小的,那么他的优先级越是高,所以,如果把他设为16的话,在另外一位的数字比他小的情况下。
那么他就是根端口。
{优先级最大为240,默认为128}
根交换机,倒数第二位数据越小的就越是根交换机。
决定根交换机的前后,也有两种数据。
第一:
交换机的MAC地址。
第二:
交换机的优先级。
我们如果修改他的MAC地址过于麻烦,所以我们一般都是修改它的优先级,于根端口一样,根交换机的优先级也是越是小的就越是根交换机。
更改根端口的时候最后一位的数字必须是4096的倍数。
{优先级最大为61440,默认的优先级为32678.}
三台机器进行树服务,第一台的优先级为4096,第二台机器的优先级为8192,第三台机器的优先级不变,如果这样的话,三台机器中间会构成一条通过路径,第一台是没有根端口的,第二个是既有根端口,也是根端口,第三个机器只有根端口,不会是根交换机。
在配置的时候有一点要非常的注意,配置根端口的时候必须是在根交换机上,进入需要修改成根端口的端口上面,然后去修改它的优先级,不是在根端口所在的交换机上面修改它的优先级。
】
端口聚合
端口聚合,就相当于是扩充的一个作用,如果你的送水管道过小,重新添加了一条,但是在出口的位置不能成为两个啊,所以,端口聚合就是一个把两条管道的出口融合成为一个出口的作用。
S3760>ena
S3760#conf
S3760(config)#hostS1
S1(config)#vlan10
S1(config-vlan)#exit
S1(config)#intvlan10
S1(config-if)#ipadd192.168.10.1255.255.255.0
S1(config-if)#noshutdown
S1(config-if)#
S3760>
S3760>ena
S3760#conf
S3760(config)#hostS2
S2(config)#vlan10
S2(config-vlan)#exit
S2(config)#intvlan10
S2(config-if)#ipadd192.168.20.1255.255.255.0
S2(config-if)#noshutdown
S2(config-if)#intrafa0/1-2
S2(config-if-range)#port-group1
S2(config)#intaggregateport1
S2(config-if)#switchportmodetrunk
S2(config-if)#exit
S2(config)#
S1(config)#intrafa0/1-2
S1(config-if-range)#port-group1
S1(config-if-range)#exit
S1(config)#intagg
S1(config)#intaggregateport1
S1(config-if)#sw
S1(config-if)#switchportmo
S1(config-if)#switchportmodetru
S1(config-if)#switchportmodetrunk
S1(config-if)#exit
S1(config)#showvlan
VLANNameStatusPorts
-----------------------------------------------------------------------------
---
1VLAN0001STATICFa0/3,Fa0/4,Fa0/5,Fa0/6Fa0/7,Fa0/8,Fa0/9,Fa0/10Fa0/11,Fa0/12,Fa0/13,Fa0/14Fa0/15,Fa0/16,Fa0/17,Fa0/18Fa0/19,Fa0/20,Fa0/21,Fa0/22Fa0/23,Fa0/24,Gi0/25,Gi0/26Gi0/27,Gi0/28,Ag1
10VLAN0010STATICAg1
细心操作,端口聚合就只要把命令记住了。
DHCP中继
让一台交换机上面的vlan内的pc机连接到一个另一个vlan中的DHCP服务器,从哪个DHCP服务器那里获取到ip。
S1(config)#vlan10
S1(config-vlan)#exit
S1(config)#vlan20
S1(config-vlan)#exit
S1(config)#vlan30
S1(config-vlan)#exit
S1(config)#intvlan10
S1(config-if)#ipadd192.168.10.1255.255.255.0
S1(config-if)#noshutdown
S1(config-if)#exit
S1(config)#intvlan20
S1(config-if)#ipadd192.168.20.1255.255.255.0
S1(config-if)#noshutdown
S1(config-if)#exit
S1(config)#intvla30
S1(config-if)#ipadd192.168.30.1255.255.255.0
S1(config-if)#noshutdown
S1(config-if)#exit
S1(config-if-range)#swacvlan10
S1(config)#intrafa0/9-16
S1(config-if-range)#swacvlan20
S1(config-if-range)#exit
S1(config)#intrafa0/17-20
S1(config-if-range)#swacvlan30
S1(config-if-range)#exit
S1(config)#intf0/24
S1(config-if)#swmotrunk
S1(config-if)#exit
S1(config)#servicedhcp【开启此台交换机dhcp中继功能】
S1(config)#iphelper-address192.168.30.2【规定此交换机上面的pc机都是从这个ip地址的服务器上面获取ip】
在输入最后一个条命令的时候,要注意一点。
如果是规定此交换机上面的pc都是在同一个ip地址上面获取ip,那么就是在全局模式上面,如果是规定一个vlan从一个ip地址上获取ip,那么就是在此vlan的端口模式上面进行操作。
使用一个接口将串口24口打开。
服务器是需要一个与服务器的ip地址相同的vlan相连接的。
然后其他实验dhcp有没有成功的电脑炼入其他的vlan中,隔着vlan进行连接。
交换机的端口安全
控制交换机的连接数量,绑定MAC地址,绑定ip地址。
S3760>ena
S3760#conf
S3760(config)#hostS1
S1(config)#intrafa0/1-23
S1(config-if-range)#switchportport-security【启用端口安全策略】
S1(config-if-range)#switchportport-securitymaximum1【安全策略配置,最大可连接的数量为1】
S1(config-if-range)#switchportport-securityviolationshutdown【“switchportport-securityviolation”,指的是违反安全策略,“shutdown”指的是关闭,意思就是如果交换机上面连接的电脑数量违反了安全策略的换就关闭。
除了shutdown外还有:
protect、restrict。
Protect指的是安全模式,restrict指的是限制模式。
】
S1(config-if-range)#exit
S1(config)#intf0/1
S1(config-if)#switchportport-security
S1(config-if)#switchportport-securitymac-addresseca8.6b94.cb4fip-address192.168.90.1【此端口绑定这个mac地址】
S1(config)#intf0/3
S1(config-if)#switchportport-securityip-address192.168.90.1【此端口绑定这个ip地址】
注意事项:
做端口数量限制的时候要注意,当接入的端口数量超过额时候交换机要做出的反应是什么,三种模式,每一种模式都有不同的反应。
绑定mac地址的时候要切记mac地址的填写方式与普通的不同,不是两位书写,而是四位书写。
Ppppap认证
ppppap认证就是一个在没有ospf协议的情况下,要使两台路由器的接口端都能ping通,能实现通信。
Red-Giant(config)#hostR1
R1(config)#ints1/2
R1(config-if)#clockrate57600
R1(config-if)#encapsulationppp
R1(config-if)#ipadd192.168.90.1255.255.255.0
R1(config-if)#noshutdown
R1(config-if)#
Red-Giant>ena
Red-Giant#conf
Red-Giant(config)#hostR2
R2(config)ints1/2
R2(config-if)#encapsulationppp
R2(config-if)#