锐捷交换机和路由器的配置案例锐捷知道.docx

锐捷交换机和路由器的配置案例锐捷知道.docx

《锐捷交换机和路由器的配置案例锐捷知道.docx》由会员分享，可在线阅读，更多相关《锐捷交换机和路由器的配置案例锐捷知道.docx（26页珍藏版）》请在冰豆网上搜索。

锐捷交换机和路由器的配置案例锐捷知道

交换机和路由器的配置案例（来自锐捷工程师的回答）

一、交换机部分

1、RG-S3760-24  QOS  如何配置？

步骤一：

定义希望限速的主机范围S3760>enS3760#confS3760（config）#access-list101permitiphost192.168.1.101any  ----定义要限速的IPS3760（config）#access-list102permitiphost192.168.1.102any   ----定义要限速的IP 

步骤二：

创建规则类，应用之前定义的主机范围S3760（config）#class-mapxiansu101           ----创建class-map，名字为xiansu101S3760（config-cmap）#matchaccess-group101                     ----匹配IP地址S3760（config-cmap）#exitS3760（config）#class-mapxiansu102           ----创建class-map，名字为xiansu102S3760（config-cmap）#matchaccess-group102                     ----匹配IP地址S3760（config-cmap）#exit 

步骤三：

创建策略类：

应用之前定义的规则，配置限速大小S3760（config）#policy-mapxiansu                ----创建policy-map，名字为xiansuS3760（config-pmap）#classxiansu101                      ----符合classxiansu101S3760（config-pmap-c）#police8000512exceed-actiondrop  ----限速值为8000Kbit（1MB）S3760（config-pmap）#classxiansu102                     ----符合classxiansu102S3760（config-pmap-c）#police4000512exceed-actiondrop   ----限速值为4000KbitS3760（config-pmap-c）#end 

步骤四：

进入接口，应用之前定义的策略S3760#confS3760（config）#intfa0/10                                  ----进入接口S3760（config-if）#service-policyinputxiansu                 ----将该限速策略应用在这个接口上 

注释：

1.通过QOS限制上行流量2.推荐在S2924G，S3250和S3760上应用该功能

2、RG-S2652G-E如何配置某台电脑不能上网，我的意思就是如何在交换机上面添加命令，设置某个网卡地址不能通过此交换机上网而不影响其他机器！

范例：

受限的ip：

192.168.1.2

步骤一：

定义ACLS2652G#conft                                             ----进入全局配置模式S2652G（config）#ipaccess-listex test                       ----定义扩展的ACLS2652G（config-std-nacl）#permitiphost192.168.1.2192.168.1.0 255.255.255.0----只允许访问内网S2652G（config-std-nacl）#denyipanyany                       ----拒绝访问其他任何资源S2652G（config-std-nacl）#exit                           ----退出标准ACL配置模式步骤二：

将ACL应用到接口上S2652G（config）#interfacefastEthernet0/1             ----进入所需应用的端口S2652G（config-if）#ipaccess-grouptestin            ----将标准ACL应用到端口in方向

3、如何对用户ip+mac+接口进行三元素绑定？

S5750#confS5750（config）#intg0/23  ----进入第23接口，准备在该接口绑定用户的MAC和ip地址S5750（config-if）#switchportport-securitymac-address0016.d390.6cc5ip-address192.168.0.101  ----在23端口下绑定ip地址是192.168.0.101MAC地址是0016.d390.6cc5的主机，确保该主机可以正常使用网络，如果该主机修改ip或者MAC地址则无法使用网络，可以添加多条来实现对接入主机的控制S5750（config-if）#switchportport-security                 ----开启端口安全功能S5750（config）#end                                            ----退会特权模式S5750#wr                                                       ----保存配置

注释：

可以通过在接口下设置最大的安全地址个数从而来控制控制该接口下可使用的主机数，安全地址的个数跟交换机的硬件资源有关

4、如果我想在交换机s2328的0/3这个端口中只允许"192.168.1.11至192.168.1.19"这几个IP地址通过，请问配置时如何实现？

我需要具体的方式

s2328G#confs2328G（config）#ipaccess-listextestS2328G（config-ext-nacl）#permitiphost192.168.1.11anyS2328G（config-ext-nacl）#permitiphost192.168.1.12anyS2328G（config-ext-nacl）#permitiphost192.168.1.13anyS2328G（config-ext-nacl）#permitiphost192.168.1.14anyS2328G（config-ext-nacl）#permitiphost192.168.1.15anyS2328G（config-ext-nacl）#permitiphost192.168.1.16anyS2328G（config-ext-nacl）#permitiphost192.168.1.17anyS2328G（config-ext-nacl）#permitiphost192.168.1.18anyS2328G（config-ext-nacl）#permitiphost192.168.1.19anyS2328G（config-ext-nacl）#denyipanyanyS2328G（config-ext-nacl）#exits2328G（config）#intf0/3s2328G（config）#ipaccess-grouptestin

5、现在我在3760做了VLAN2，VLAN2的IP是10.121.63.254，255.255.255.0，然后我在防火墙里做了过滤，只允许10.121.63.250这个IP可以上网，其他的上不了。

现在我想把10.121.63.250这个IP与MAC地址为A.B.C.D的这台电脑绑定，让VLAN2里的其他电脑即使把IP修改为10.121.63.250也上不了网，不知道有没有办法。

但是有特殊情况的时候，就是整个VLAN里的电脑都要上外网，我在防火墙里的限制10.121.63.0/24的设置取消就可，我的37的版本是10.2的

S3760#confS3760（config）#address-bind10.121.63.250aaaa.bbbb.cccc  ----绑定ip地址为10.121.63.250MAC地址为aaaa.bbbb.cccc的主机让其使用网络

6、如何配置端口捆绑，提高交换机链接的带宽？

下面的例子是将二层的以太网接口0/1配置成二层AP5成员：

Ruijie#configureterminalRuijie（config）#interfacerangegigabitEthernet0/1Ruijie（config-if-range）#port-group5Ruijie（config-if-range）#end您可以在全局配置模式下使用命令Ruijie（config）#interfaceaggregateportn（n为AP号）来直接创建一个AP（如果APn不存在）。

注意：

将普通端口加入某个AP口后，当该端口再次从ap口退出时，普通端口上的原先相关的配置可能会恢复为缺省的配置。

不同功能对ap口的成员的原有配置的处理方式有所不同，因此建议在端口从ap口退出后，应查看并确认端口的配置。

7、如何通过QOS实行限速？

步骤一：

定义希望限速的主机范围S3760>enS3760#confS3760（config）#access-list101permitiphost192.168.1.101any  ----定义要限速的IPS3760（config）#access-list102permitiphost192.168.1.102any   ----定义要限速的IP 

步骤二：

创建规则类，应用之前定义的主机范围S3760（config）#class-mapxiansu101           ----创建class-map，名字为xiansu101S3760（config-cmap）#matchaccess-group101                     ----匹配IP地址S3760（config-cmap）#exitS3760（config）#class-mapxiansu102           ----创建class-map，名字为xiansu102S3760（config-cmap）#matchaccess-group102                     ----匹配IP地址S3760（config-cmap）#exit 

步骤三：

创建策略类：

应用之前定义的规则，配置限速大小S3760（config）#policy-mapxiansu                ----创建policy-map，名字为xiansuS3760（config-pmap）#classxiansu101                      ----符合classxiansu101S3760（config-pmap-c）#police8000512exceed-actiondrop  ----限速值为8000Kbit（1MB）S3760（config-pmap）#classxiansu102                     ----符合classxiansu102S3760（config-pmap-c）#police4000512exceed-actiondrop   ----限速值为4000KbitS3760（config-pmap-c）#end 

步骤四：

进入接口，应用之前定义的策略S3760#confS3760（config）#intfa0/10                                  ----进入接口S3760（config-if）#service-policyinputxiansu                 ----将该限速策略应用在这个接口上 

注释：

1.通过QOS限制上行流量2.推荐在S2924G，S3250和S3760上应用该功能

8、如何限制交换机的端口下载速率？

Ruijie>enRuijie#conEnterconfigurationcommands,oneperline. EndwithCNTL/Z.Ruijie（config）#intgi0/1                         ----进入接口GigabitEthernet0/1Ruijie（config-if-GigabitEthernet0/1）#rate-limitoutput?

       <312-1000000> KBitspersecond      ----限速范围312Kbits-1000MRuijie（config-if-GigabitEthernet0/1）#rate-limitoutput1000?

 <4-16384> Kburstbytes:

4,8,16,...,1024,2*1024,4*1024,...,16*1024----设置猝发流量限制值。

需设置4，8，16等值。

Ruijie（config-if-GigabitEthernet0/1）#rate-limitoutput1000256----设置Gi0/1端口限速1M，猝发流量256KRuijie（config-if-GigabitEthernet0/1）#endRuijie#*Jan1310:

02:

17:

%SYS-5-CONFIG_I:

ConfiguredfromconsolebyconsoleRuijie#wr

删除该端口限速配置：

Ruijie（config-if-GigabitEthernet0/1）#norate-limitoutput

注释：

1. Rate-limit基于端口限速，非基于IP；2. 支持rate-limit的output方向；限制下载速率较准确。

9、交换机dot1x认证配置？

以与SAM认证环境为例的简易配置适用于10.x软件平台交换机（如23系列等）：

S2328G（config）#aaanew-model     ---开启aaa认证S2328G（config）#aaaaccountingupdate              ---开启记账更新S2328G（config）#aaaaccountingnetworkdefaultstart-stopgroupradius   ---配置记账功能S2328G（config）#aaagroupserverradiusdefaultS2328G（config-gs-radius）#server192.168.204.57         ---定义记账服务器IPS2328G（config）#radius-serverhost192.168.204.57       ---定义认证服务器IPS2328G（config）#radius-serverkey0ruijie         ---配置Radiuskey为ruijieS2328G（config）#snmp-servercommunityruijierw  ---配置团体名ruijie，属性为rwS2328G（config）#aaaauthenticationlogindefaultgroupradiuslocalnone ---配置登入设备的认证方法（见注释）S2328G（config）#aaaauthenticationdot1xdefaultgroupradiuslocalnone         ---配置dot1x认证方法

S2328G（config）#dot1xaccountingdefault     ---开启dot1x记账功能S2328G（config）#dot1xauthenticationdefault    ---开启dot1x认证功能S2328G（config）#dot1xclient-probeenable     ---配置hello功能S2328G（config）#interfaceGigabitEthernet0/1S2328G（config-if）#dot1xport-controlauto   ---在接入PC的端口上使能dot1x认证S2328G（config-if）#dot1xdynamic-vlanenable  ---在接入PC的端口上使能VLAN跳转

适用于非10.x软件平台的交换机（如21系列等等）：

S2328G（config）#aaaauthenticationdot1x  ---打开802.1xS2328G（config）#aaaaccounting    ---打开计费功能S2328G（config）#radius-serverhost192.168.5.183    ---配置认证服务器IPS2328G（config）#aaaaccountingserver192.168.5.183 ---配置计费服务器IPS2328G（config）#radius-serverkeyruijie        ---配置Radiuskey为ruijieS2328G（config）#snmp-servercommunityruijierw ---配置团体名ruijie，属性为rw

S2328G（config）#aaaaccountingupdate       ---打开计费更新S2328G（config）#dot1xclient-probeenable      ---开启hello功能

S2328G（config）#interfaceGigabitEthernet0/1S2328G（config-if）#dot1xport-controlauto   ---在接入PC的端口上使能dot1x认证S2328G（config-if）#dot1xdynamic-vlanenable ---在接入PC的端口上使能VLAN跳转

注释：

1） 在10.x平台的配置中，aaaauthenticationlogindefaultgroupradiuslocalnone针对这条命令，如果登入设备时不希望提示用户名和密码，则修改为：

aaaauthenticationlogindefaultnone；如果想用在交换机本地验证用户名和密码，则修改为aaaauthenticationlogindefaultlocal。

本配置模板只供初学者或实验使用，若是工程实施，还需要调整一些时间间隔参数，如记账更新间隔、hellotime时间间隔、NAS与服务器通信间隔等等。

10、如何在设备上开启DHCP服务，让不同VLAN下的电脑获得相应的IP地址？

步骤一：

配置VLAN网关IP地址，及将相关端口划入相应的VLAN中S3760#contS3760（config）#vlan2                                           ----创建VLAN2S3760（config-vlan）#exit                               ----退回到全局配置模式下S3760（config）#vlan3                                           ----创建VLAN3S3760（config-vlan）#exit                               ----退回到全局配置模式下S3760（config）#intvlan2                                    ----进入配置VLAN2S3760（config-if）#ipadd192.168.2.1255.255.255.0  ----设置VLAN2的IP地址S3760（config-if）#exit                                 ----退回到全局配置模式下S3760（config）#intvlan3                                    ----进入配置VLAN3S3760（config-if）#ipadd192.168.3.1255.255.255.0  ----设置VLAN3的IP地址S3760（config-if）#exit                                 ----退回到全局配置模式下S3760（config）#intf0/2                                      ----进入接口f0/2S3760（config-if）#switchportaccessvlan2  ----设置f0/2口属于VLAN2S3760（config-if）#exitS3760（config）#intf0/3                                      ----进入接口f0/3S3760（config-if）#switchportaccessvlan3            ----设置f0/3口属于VLAN3S3760（config-if）#exit

步骤二：

配置DHCPserverS3760（config）#servicedhcp                           ----开启dhcpserver功能S3760（config）#ipdhcppingpackets1         ----在dhcpserver分配IP时会先去检测将要分配的IP地址是否已有人使用，如果没人使用则分配，若已有人使用则再分配下一个IPS3760（config）#ipdhcpexcluded-address192.168.2.1192.168.2.10----设置排斥地址为192.168.2.1至192.168.2.10的ip地址不分配给客户端（可选配置）S3760（config）#ipdhcpexcluded-address192.168.3.1192.168.3.10----设置排斥地址为192.168.3.1至192.168.3.10的ip地址不分配给客户端（可选配置）S3760（config）#ipdhcppooltest2             ----新建一个dhcp地址池名为test2S3760（dhcp-config）#leaseinfinite                       ----租期时间设置为永久S3760（dhcp-config）#network192.168.2.0255.255.255.0  ----给客户端分配的地址段S3760（dh