銳捷交換機路由器配置教程

1、銳捷交換機路由器配置教程目 錄第一章：設備配置和文件管理 . .4 1.1 通過 TELNET 方式來配置設備 . .4 1.2 更改 IOS 命令的特權等級 .4 1.3 設備時鐘設置 .5 第二章：交換機基礎配置 . .5 2.1 交換機 vlan 和 trunk 的置 . .5 2.2 turnk 接口修剪配置 .6 2.3 PVLAN 配置 . .7 2.4 端口匯聚配置 . .8 2.5 生成樹配置 . .9 2.6 端口鏡像配置 . .9 第三章：交換機防止 ARP 欺騙置 . .10 3.1 交換機地址綁定（ address-bind ）功能 .10 3.2 交換機端口安全功能

2、.10 3.3 交換機 arp-check 功能 . .11 3.4 交換機ARP動態(tài)檢測功能(DAI). .11 第四章：訪問控制列表配置（ACL）. . .12 4.1 標準ACL配置.12 4.2 擴展ACL配置.13 4.3 VLAN之間的ACL配置. . .13 4.4 單向ACL的配置.15 第五章：應用協(xié)議配置.16 5.1 DHCP服務配置. .16 5.2 交換機dot1x認證配置.18 5.3 QOS限速配置. .19 5.4 IPsec配置. .20 5.5 GRE配置. . .22 5.6 PPTP 配置 .22 5.7 路由器L2TP配置.23 5.8 路由器 NAT

3、 配置 .24 第六章：路由協(xié)議配置 .25 6.1 默認路由配置.25 6.2 靜態(tài)路由配置.25 6.3 浮動路由配置.25 6.4 策略路由配置 .25 6.5 OSPF 配置. .26 6.6 OSPF 中 router ID 配置.27第一章：設備配置和文件管理 1.1 通過 TELNET 方式來配置設備 提問：如何通過 telnet 方式來配置設備？ 回答： 步驟一：配置 VLAN1 的 IP 地址 S5750en - 進入特權模式 S5750#conf - 進入全局配置模式 S5750(config)#int vlan 1 - 進入 vlan 1 接口 S5750(config-

4、if)#ip address 30 - 為 vlan 1 接口上設置管理 ip S5750(config-if)#exit -退回到全局配置模式 步驟二：配置telnet密碼 S5750(config)#line vty 0 4 -進入telnet密碼配置模式 S5750(config-line)#login -啟用需輸入密碼才能telnet成功 S5750(config-line)#password rscstar -將telnet密碼設置為rscstar S5750(config-line)#exit -回到全局配置模式 S5750(con

5、fig)#enable secret 0 rscstar -配置進入特權模式的密碼為rscstar 步驟三：開啟SSH服務（可選操作） S5750(config)#enable service ssh-server -開啟ssh服務 S5750(config)#ip ssh version 2 -啟用ssh version 2 S5750(config)#exit - 回到特權模式 S5750#wri -保存配置1.2 更改 IOS 命令的特權等級 提問：如何只允許dixy這個用戶使用與ARP相關的命令？ 回答： S5750(config)#username dixy password dix

6、y - 設置 dixy 用戶名和密碼S5750(config)#username dixy privilege 10 -dixy 帳戶的權限為 10 S5750(config)#privilege exec level 10 show arp - 權限 10 可以使用 show arp 命令 S5750(config)#privilege config all level 10 arp - 權限 10 可以使用所有 arp 打頭的命令 S5750(config)#line vty 0 4 - 配置 telnet 登陸用戶 S5750(config-line)#no password S5750

7、(config-line)#login local 注釋： 15 級密碼為 enable 特權密碼，無法更改， 0 級密碼只能支持 disable ， enable ， exit和 help ， 1 級密碼無法進行配置。1.3 設備時鐘設置 提問：如何設置設備時鐘？ 回答： S5750#clock set 12:45:55 11 25 2008 - -設置時間為2008年11月25日12點45分55秒 S5750#clock update-calendar -設置日歷更新 S5750(config)#clock timezone CN 8 22 -時間名字為中國，東8區(qū)22分 第二章：交換機基

8、礎配置2.1 交換機vlan和trunk的配置 提問：如何在交換機上劃分 vlan ，配置 trunk 接口？ 回答： 步驟一：給交換機配置IP地址 S2724G#conf S2724G(config)#int vlan 1 S2724G(config-if)#ip addess 00 - 給 VLAN 1 配置 IP 地址 S2724G(config-if)#no shutdown - 激活該 VLAN 接口 S2724G(config-if)#exit S2724G(config)#ip default-gateway 192.168.0.

9、1 - 指定交換機的網(wǎng)關地址 步驟二：創(chuàng)建 VLAN S2724G#conf S2724G(config)#vlan 10 - 創(chuàng)建 VLAN 10 S2724G(config-vlan)#exit S2724G(config)# vlan 20 - 創(chuàng)建 VLAN 20 S2724G(config-vlan)#exit 步驟三：把相應接口指定到相應的 VLAN 中 S2724G(config)#int gi 0/10 S2724G(config-if)#switch access vlan 10 -把交換機的第10端口劃到VLAN 10中 S2724G(config-if)#exit S27

10、24G(config)#int gi 0/20 S2724G(config-if)#switch access vlan 20 -把交換機的第20端口劃到VLAN 20中 S2724G(config-if)#exit S2724G(config)#int gi 0/24 S2724G(config-if)#switch mode trunk-設置24口為Trunk模式（與三層交換機的連接口 S2724G(config-if)# 步驟四：保存配置 S2724G(config-if)#end S2724G#write2.2 turnk接口修剪配置 提問：如何讓 trunk 接口只允許部分 vlan

11、 通過？回答： Switch(config)#int fa 0/24 Switch (config-if)#switch mode trunk Switch (config-if)#switchport trunk allowed vlan remove 10,20,30-40 - 不允許 VLAN10,20,30-40 通過 Trunk 口 2.3 PVLAN 配置 提問：如何實現(xiàn)幾組用戶之間的隔離，但同時又都能訪問公用服務？ 回答： 步驟一：創(chuàng)建隔離 VLAN S2724G#conf S2724G(config)#vlan 3 -創(chuàng)建VLAN3 S2724G(config-vlan)#pr

12、ivate-vlan community -將VLAN3設為隔離VLAN S2724G(config)#vlan 4 -創(chuàng)建VLAN4 S2724G(config-vlan)#private-vlan community -將VLAN4設為隔離VLAN S2724G(config-vlan)#exit -退回到特權模式 步驟二：創(chuàng)建主VLAN S2724G(config)#vlan 2 -進入VLAN2 S2724G(config-vlan)#private-vlan primary -VLAN2為主VLAN 步驟三：將隔離 VLAN 加到到主 VLAN 中 VLANS2724G(config

13、-vlan)#private-vlan association add 3-4 - 將 VLAN3 和 VLAN4 加入到公用 VLAN 中， VLAN3 和 VLAN4 的用戶可以訪問公用接口 步驟四：將實際的物理接口與VLAN相對應 S2724G(config)#interface GigabitEthernet 0/1 - -進入接口1，該接口連接服務器或者上聯(lián)設備 S2724G(config-if)#switchport mode private-vlan promiscuous - - 接口模式為混雜模式 S2724G(config-if)#switchport private-vl

14、an mapping 2 add 3-4 - - 將 VLAN3 和 VLAN4 映射到 VLAN2 上 S2724G(config)#int gi 0/10 - 進入接口 10 S2724G(config-if)#switchport mode private-vlan host S2724G(config-if)#switchport private-vlan host-association 2 3 - - 該接口劃分入 VLAN3 S2724G(config)#int gi 0/20 - 進入接口 20 S2724G(config-if)#switchport mode private

15、-vlan host S2724G(config-if)#switchport private-vlan host-association 2 4 - - 該接口劃分入 VLAN4 步驟五：完成 VLAN 的映射 S2724G(config)#int vlan 2 -進入VLAN2的SVI接口 S2724G(config-if)#ip address - -配置VLAN2的ip地址 S2724G(config-if)#private-vlan mapping add 3-4 - - -將VLAN3和VLAN4加入到VLAN2中 注釋： 1.

16、S20、S21不支持私有VLAN，可以通過保護端口實現(xiàn)類似功能 2. S3250、S3750和S5750同時支持保護端口和私有VLAN 3. S3760不支持私有VLAN和保護端口2.4 端口匯聚配置 提問：如何將交換機的端口捆綁起來使用？ 回答： S5750#conf S5750(config)#interface range gigabitEthernet 0/1 4 - 同時進入 1 到 4 號接口 S5750(config-if)#port-group 1 -設置為聚合口1 S5750(config)#interface aggregateport 1 -進入聚合端口1 注意：配置為A

17、P口的接口將丟失之前所有的屬性，以后關于接口的操作只能在AP1口上面進行 2.5 生成樹配置 提問：如何配置交換機的生成樹？ 回答： 步驟一：根橋的設置 switch_A#conf t switch_A(config)#spanning-tree - 默認模式為 MSTP switch_A(config)#spanning-tree mst configuration switch_A(config)#spanning-tree mst 10 priority 4096 - 設置為根橋 步驟二：非根橋的設置 switch_B#conf t switch_B(config)#spanning-t

18、ree -默認模式為MSTP switch_B(config)#spanning-tree mst configuration switch_B(config)#int f0/1 -PC的接入端口 switch_B(config)#spanning-tree bpduguard enable switch_B(config)#spanning-tree portfast 2.6 端口鏡像配置 提問：如何配置交換機的端口鏡像？ 回答： switch#conf t switch#(config)# switch (config)# monitor session 1 source interfac

19、e gigabitEthernet 3/1 both - 監(jiān)控源口為 g3/1 switch (config)# monitor session 1 destination interface gigabitEthernet 3/8 switch - 監(jiān)控目的口為 g3/8 ，并開啟交換功能 注意： S2026 交換機鏡像目的端口無法當做普通接口使用 第三章：交換機防止 ARP 欺騙配置3.1 交換機地址綁定（ address-bind ）功能 提問：如何對用戶 ip+mac 進行兩元素綁定？ 回答： S5750#conf S5750(config)# address-bind 192.168

20、.0.101 0016.d390.6cc5 - 綁定 ip 地址為 01 MAC 地址為 0016.d390.6cc5 的主機讓其使用網(wǎng)絡 S5750(config)# address-bind uplink GigabitEthernet 0/1 - 將 g0/1 口設置為上聯(lián)口，也就是交換機通過 g0/1 的接口連接到路由器或是出口設備，如果接口選擇錯誤會導致整網(wǎng)不通 S5750(config)# address-bind install -使能address-bind功能 S5750(config)#end -退回特權模式 S5750# wr -保存配置 注釋： 1

21、. 如果修改ip或是MAC地址該主機則無法使用網(wǎng)絡，可以按照此命令添加多條，添加的條數(shù)跟交換機的硬件資源有關 2. S21交換機的address-bind功能是防止Ip沖突，只有在交換機上綁定的才進行ip和MAC的匹配，如果下邊用戶設置的ip地址在交換機中沒綁定，交換機不對該數(shù)據(jù)包做控制，直接轉發(fā)。3.2 交換機端口安全功能 提問：如何對用戶ip+mac+接口進行三元素綁定？ 回答： S5750#conf S5750(config)# int g0/23 - 進入第 23 接口，準備在該接口綁定用戶的 MAC 和 ip 地址 S5750(config-if)# switchport port-

22、security mac-address 0016.d390.6cc5 ip-address 01- 在 23 端口下綁定 ip 地址是 01 MAC 地址是 0016.d390.6cc5 的主機，確保該主機可以正常使用網(wǎng)絡，如果該主機修改 ip 或者 MAC 地址則無法使用網(wǎng)絡，可以添加多條來實現(xiàn)對接入主機的控制 S5750(config-if)# switchport port-security - 開啟端口安全功能 S5750(config)#end - 退會特權模式 S5750# wr - 保存配置 注釋：可以通過在接口下設置最大的安全地址個

23、數(shù)從而來控制控制該接口下可使用的主機數(shù)，安全地址的個數(shù)跟交換機的硬件資源有關 3.3 交換機 arp-check 功能 提問：如何防止錯誤的arp信息在網(wǎng)絡里傳播？ 回答： S5750#conf S5750(config)# int g0/23 -進入第23接口，準備在該接口綁定用戶的MAC和ip地址 S5750(config-if)# switchport port-security mac-address 0016.d390.6cc5 ip-address 01 -ip+mac綁定信息 S5750(config-if)# switchport port-securit

24、y -開啟端口安全功能 S5750(config-if)# switchport port-security arp-check - 開啟端 arp 檢查功能 S5750(config)#end - 退會特權模式 S5750# wr - 保存配置 注釋：開啟 arp-check 功能后安全地址數(shù)減少一半，具體情況請查閱交換機配置指南3.4 交換機ARP動態(tài)檢測功能(DAI) 提問：如何在動態(tài)環(huán)境下防止ARP欺騙？ 回答：步驟一： 配置 DHCP snooping S3760#con t S3760(config)#ip dhcp snooping - 開啟 dhcp snooping S376

25、0(config)#int f 0/1 S3760(config-if)#ip dhcp snooping trust - 設置上連口為信任端口（注意：缺省所有端口都是不信任端口） , 只有此接口連接的服務器發(fā)出的 DHCP 響應報文才能夠被轉發(fā) . S3760(config-if)#exit S3760(config)#int f 0/2 S3760(config-if)# ip dhcp snooping address-bind - 配置 DHCP snooping 的地址綁定功能 S3760(config-if)#exit S3760(config)#int f 0/3 S3760(c

26、onfig-if)# ip dhcp snooping address-bind -配置DHCP snooping的地址綁定功能 步驟二： 配置DAI S3760(config)# ip arp inspection -啟用全局的DAI S3760(config)# ip arp inspection vlan 2 -啟用vlan2的DAI報文檢查功能 S3760(config)# ip arp inspection vlan 3 -啟用vlan3的DAI報文檢查功能 第四章：訪問控制列表配置（ ACL ）4.1 標準 ACL 配置 提問：如何只允許端口下的用戶只能訪問特定的服務器網(wǎng)段？ 回答

27、： 步驟一：定義 ACL S5750#conf t -進入全局配置模式 S5750(config)#ip access-list standard 1 -定義標準ACL S5750(config-std-nacl)#permit 55 - 允許訪問服務器資源 S5750(config-std-nacl)#deny any -拒絕訪問其他任何資源S5750(config-std-nacl)#exit - 退出標準 ACL 配置模式 步驟二：將 ACL 應用到接口上 S5750(config)#interface GigabitEthernet 0/1 - 進

28、入所需應用的端口 S5750(config-if)#ip access-group 1 in - 將標準 ACL 應用到端口 in 方向 注釋： 1. S1900 系列、 S20 系列交換機不支持基于硬件的 ACL 。 2. 實際配置時需注意，在交換機每個 ACL 末尾都隱含著一條“拒絕所有數(shù)據(jù)流”的語句。 3. 以上所有配置，均以銳捷網(wǎng)絡 S5750-24GT/12SFP 軟件版本 10.2 （ 2 ）為例。 其他說明，其詳見各產(chǎn)品的配置手冊訪問控制列表配置一節(jié)。 4.2 擴展 ACL 配置 提問：如何禁止用戶訪問單個網(wǎng)頁服務器？ 回答： 步驟一：定義ACL S5750#conf t -進入

29、全局配置模式 S5750(config)#ip access-list extended 100 -創(chuàng)建擴展ACL S5750(config-ext-nacl)#deny tcp any host 54 eq www -禁止訪問web服務器 S5750(config-ext-nacl)#deny tcp any any eq 135 -預防沖擊波病毒 S5750(config-ext-nacl)#deny tcp any any eq 445 -預防震蕩波病毒 S5750(config-ext-nacl)#permit ip any any -允許訪問其他任何資源 S57

30、50(config-ext-nacl)#exit -退出ACL配置模式 步驟二：將ACL應用到接口上 S5750(config)#interface GigabitEthernet 0/1 -進入所需應用的端口 S5750(config-if)#ip access-group 100 in - 將擴展 ACL 應用到端口下 4.3 VLAN 之間的 ACL 配置 提問：如何禁止VLAN間互相訪問？ 回答： 步驟一：創(chuàng)建 vlan10 、 vlan20 、 vlan30S5750#conf - 進入全局配置模式 S5750(config)#vlan 10 - 創(chuàng)建 VLAN10 S5750(co

31、nfig-vlan)#exit - 退出 VLAN 配置模式 S5750(config)#vlan 20 - 創(chuàng)建 VLAN20 S5750(config-vlan)#exit - 退出 VLAN 配置模式 S5750(config)#vlan 30 - 創(chuàng)建 VLAN30 S5750(config-vlan)#exit - 退出 VLAN 配置模式 步驟二：將端口加入各自 vlan S5750(config)# interface range gigabitEthernet 0/1-5 - 進入 gigabitEthernet 0/1-5 號端口 S5750(config-if-range)

32、#switchport access vlan 10 -將端口加劃分進vlan10 S5750(config-if-range)#exit -退出端口配置模式 S5750(config)# interface range gigabitEthernet 0/6-10 -進入gigabitEthernet 0/6-10號端口 S5750(config-if-range)#switchport access vlan 20 -將端口加劃分進vlan20 S5750(config-if-range)#exit -退出端口配置模式 S5750(config)# interface range giga

33、bitEthernet 0/11-15 - 進入 gigabitEthernet 0/11-15 號端口 S5750(config-if-range)#switchport access vlan 30 -將端口加劃分進vlan30 S5750(config-if-range)#exit -退出端口配置模式 步驟三：配置vlan10、vlan20、vlan30的網(wǎng)關IP地址 S5750(config)#interface vlan 10 -創(chuàng)建vlan10的SVI接口 S5750(config-if)#ip address - 配置VLAN

34、10 的網(wǎng)關 S5750(config-if)#exit -退出端口配置模式 S5750(config)#interface vlan 20 -創(chuàng)建vlan10的SVI接口 S5750(config-if)#ip address - 配置 VLAN10 的網(wǎng)關 S5750(config-if)#exit - 退出端口配置模式 S5750(config)#interface vlan 30 - 創(chuàng)建 vlan10 的 SVI 接口 S5750(config-if)#ip address -

35、配置 VLAN10 的網(wǎng)關 S5750(config-if)#exit - 退出端口配置模式 步驟四：創(chuàng)建 ACL ，使 vlan20 能訪問 vlan10 ，而 vlan30 不能訪問 vlan10 S5750(config)#ip access-list extended deny30 - 定義擴展 ACL S5750(config-ext-nacl)#deny ip 55 55 - 拒絕 vlan30 的用戶訪問 vlan10 資源 S5750(config-ext-nacl)#permit ip any a

36、ny -允許vlan30的用戶訪問其他任何資源 S5750(config-ext-nacl)#exit -退出擴展ACL配置模式 步驟五：將ACL應用到vlan30的SVI口in方向 S5750(config)#interface vlan 30 -創(chuàng)建vlan30的SVI接口 S5750(config-if)#ip access-group deny30 in -將擴展ACL應用到vlan30的SVI接口下4.4 單向ACL的配置 提問：如何實現(xiàn)主機A可以訪問主機B的FTP資源，但主機B無法訪問主機A的FTP資源？ 回答： 步驟一：定義 ACL S5750#conf t -進入全局配置模式

37、S5750(config)#ip access-list extended 100 -定義擴展ACL S5750(config-ext-nacl)#deny tcp any host 54 match-all syn - 禁止主動向 A 主機發(fā)起 TCP 連接 S5750(config-ext-nacl)#permit ip any any - 允許訪問其他任何資源 S5750(config-ext-nacl)#exit - 退出擴展 ACL 配置模式步驟二：將 ACL 應用到接口上 S5750(config)#interface GigabitEthernet 0/1

38、- 進入連接 B 主機的端口 S5750(config-if)#ip access-group 100 in - 將擴展 ACL 應用到端口下 S5750(config-if)#end - 退回特權模式 S5750#wr - 保存 注釋：單向 ACL 只能對應于 TCP 協(xié)議，使用 PING 無法對該功能進行檢測。 第五章：應用協(xié)議配置 5.1 DHCP 服務配置 提問：如何在設備上開啟DHCP服務，讓不同VLAN下的電腦獲得相應的IP地址？ 回答： 步驟一：配置VLAN網(wǎng)關IP地址，及將相關端口劃入相應的VLAN中 S3760#con t S3760(config)#vlan 2 -創(chuàng)建VL

39、AN2 S3760(config-vlan)#exit -退回到全局配置模式下 S3760(config)#vlan 3 -創(chuàng)建VLAN3 S3760(config-vlan)#exit -退回到全局配置模式下 S3760(config)#int vlan 2 -進入配置VLAN2 S3760(config-if)#ip add -設置VLAN2的IP地址 S3760(config-if)#exit -退回到全局配置模式下 S3760(config)#int vlan 3 -進入配置VLAN3 S3760(config-if)#ip add

40、 - 設置 VLAN3 的 IP 地址 S3760(config-if)#exit - 退回到全局配置模式下 S3760(config)#int f 0/2 -進入接口f0/2 S3760(config-if)#switchport access vlan 2 - 設置 f0/2 口屬于 VLAN2S3760(config-if)#exit S3760(config)#int f 0/3 - 進入接口 f0/3 S3760(config-if)#switchport access vlan 3 - 設置 f0/3 口屬于 VLAN3 S3760

41、(config-if)#exit 步驟二：配置 DHCP server S3760 (config)#service dhcp - 開啟 dhcp server 功能 S3760 (config)#ip dhcp ping packets 1 - 在 dhcp server 分配 IP 時會先去檢測將要分配的 IP 地址是否已有人使用，如果沒人使用則分配，若已有人使用則再分配下一個 IP S3760 (config)#ip dhcp excluded-address 0 - 設置排斥地址為 至 0 的

42、ip 地址不分配給客戶端（可選配置） S3760 (config)#ip dhcp excluded-address 0 -設置排斥地址為至0的ip地址不分配給客戶端（可選配置） S3760 (config)#ip dhcp pool test2 -新建一個dhcp地址池名為test2 S3760 (dhcp-config)# lease infinite-租期時間設置為永久 S3760 (dhcp-config)# network -給客戶端分配的地址

43、段 S3760 (dhcp-config)# dns-server 5 -給客戶端分配的DNS S3760(dhcp-config)# default-router -客戶端的網(wǎng)關 S3760(dhcp-config)#exit S3760(config)#ip dhcp pool test3 - 新建一個 dhcp 地址池名為 test3 S3760(dhcp-config)# lease infinite -租期時間設置為永久 S3760(dhcp-config)# network S37

44、60(dhcp-config)# dns-server 5 S3760(dhcp-config)# default-router S3760(dhcp-config)#end S3760#wr5.2 交換機 dot1x 認證配置 提問：如何在交換機上開啟 dot1x 認證？ 回答： 步驟一：基本 AAA 配置 Switch#conf Switch(config)# aaa new-model - 啟用認證 Switch(config)# aaa accounting network test start-stop group radius -

45、配置身份認證方法 Switch(config)# aaa group server radius test Switch(config-gs-radius)# server X.X.X.X - 指定記帳服務器地址 Switch(config-gs-radius)# exit Switch(config)# aaa authentication dot1x default group radius local -配置dot1x認證方法 Switch(config)# radius-server host X.X.X.X -指定認證服務器地址 Switch(config)# radius-serv

46、er key 0 password -指定radius共享口令 Switch(config)# dot1x accounting test -開啟計帳功能 Switch(config)# dot1x authentication default -開啟認證功能 Switch(config)# snmp-server community ruijie rw -指定SNMP共同體字段 Switch(config)# interface range fastethernet 0/1-24 同時進1-24號接口 Switch(config-if-range)# dot1x port-control a

47、uto -指定受控端口 Switch(config-if-range)# exit -退出接口模式 步驟二：配置客戶端探測功能 Switch(config)# aaa accounting update -啟用計帳更新 Switch(config)# aaa accounting update periodic 5 - 指定計帳更新間隔為 5 分鐘 Switch(config)# dot1x client-probe enable - 啟用客戶端在線探測功能 Switch(config)# dot1x probe-timer interval 20 - 指定探測周期為 20 秒 Switch(

48、config)# dot1x probe-timer alive 60 指定探測存活時間為 60秒 步驟三： 配置記賬更新功能 Switch(config)# dot1x timeout quiet-period 5 - 指定認證失敗等待時間 Switch(config)# dot1x timeout tx-period 3 - 指定交換機重傳 Identity Requests 報文時間 Switch(config)# dot1x max-req 3 - 指定交換機重傳 Identity Requests 報文的最大次數(shù) Switch(config)# dot1x reauth-max 3 - 指定認證失敗后交換機發(fā)起的重認證的最大次數(shù) Switch(config)# dot1x