锐捷交换机和路由器的配置案例锐捷知道.docx
《锐捷交换机和路由器的配置案例锐捷知道.docx》由会员分享,可在线阅读,更多相关《锐捷交换机和路由器的配置案例锐捷知道.docx(30页珍藏版)》请在冰豆网上搜索。
锐捷交换机和路由器的配置案例锐捷知道
LastupdatedontheafternoonofJanuary3,2021
锐捷交换机和路由器的配置案例锐捷知道
交换机和路由器的配置案例(来自锐捷工程师的回答)
一、交换机部分
1、RG-S3760-24QOS如何配置?
----定义要限速的IP
步骤二:
创建规则类,应用之前定义的主机范围
S3760(config)#class-mapxiansu101----创建class-map,名字为xiansu101
S3760(config-cmap)#matchaccess-group101----匹配IP地址
S3760(config-cmap)#exit
S3760(config)#class-mapxiansu102----创建class-map,名字为xiansu102
S3760(config-cmap)#matchaccess-group102----匹配IP地址
S3760(config-cmap)#exit
步骤三:
创建策略类:
应用之前定义的规则,配置限速大小
S3760(config)#policy-mapxiansu----创建policy-map,名字为xiansu
S3760(config-pmap)#classxiansu101----符合classxiansu101
S3760(config-pmap-c)#police8000512exceed-actiondrop----限速值为8000Kbit(1MB)
S3760(config-pmap)#classxiansu102----符合classxiansu102
S3760(config-pmap-c)#police4000512exceed-actiondrop----限速值为4000Kbit
S3760(config-pmap-c)#end
步骤四:
进入接口,应用之前定义的策略
S3760#conf
S3760(config)#intfa0/10----进入接口
S3760(config-if)#service-policyinputxiansu----将该限速策略应用在这个接口上
注释:
1.通过QOS限制上行流量
2.推荐在S2924G,S3250和S3760上应用该功能
2、RG-S2652G-E如何配置某台电脑不能上网,我的意思就是如何在交换机上面添加命令,设置某个网卡地址不能通过此交换机上网而不影响其他机器!
步骤一:
定义ACL
S2652G#conft----进入全局配置模式
S2652G(config)#ipaccess-listextest----定义扩展的ACL
S2652G2652G(config-std-nacl)#denyipanyany----拒绝访问其他任何资源
S2652G(config-std-nacl)#exit----退出标准ACL配置模式
步骤二:
将ACL应用到接口上
S2652G(config)#interfacefastEthernet0/1----进入所需应用的端口
S2652G(config-if)#ipaccess-grouptestin----将标准ACL应用到端口in方向
3、如何对用户ip+mac+接口进行三元素绑定?
S5750#conf
S5750(config)#intg0/23----开启端口安全功能
S5750(config)#end----退会特权模式
S5750#wr----保存配置
注释:
可以通过在接口下设置最大的安全地址个数从而来控制控制该接口下可使用的主机数,安全地址的个数跟交换机的硬件资源有关
4、
s2328G#conf
s2328G(config)#ipaccess-listextest
S2328G2328G2328G2328G2328G2328G2328G2328G2328G2328G(config-ext-nacl)#denyipanyany
S2328G(config-ext-nacl)#exit
s2328G(config)#intf0/3
s2328G(config)#ipaccess-grouptestin
5、
6、如何配置端口捆绑,提高交换机链接的带宽?
下面的例子是将二层的以太网接口0/1配置成二层AP5成员:
Ruijie#configureterminalRuijie(config)#interfacerangegigabitEthernet0/1Ruijie(config-if-range)#port-group5Ruijie(config-if-range)#end您可以在全局配置模式下使用命令Ruijie(config)#interfaceaggregateportn(n为AP号)来直接创建一个AP(如果APn不存在)。
注意:
将普通端口加入某个AP口后,当该端口再次从ap口退出时,普通端口上的原先相关的配置可能会恢复为缺省的配置。
不同功能对ap口的成员的原有配置的处理方式有所不同,因此建议在端口从ap口退出后,应查看并确认端口的配置。
7、如何通过QOS实行限速?
----定义要限速的IP
步骤二:
创建规则类,应用之前定义的主机范围
S3760(config)#class-mapxiansu101----创建class-map,名字为xiansu101
S3760(config-cmap)#matchaccess-group101----匹配IP地址
S3760(config-cmap)#exit
S3760(config)#class-mapxiansu102----创建class-map,名字为xiansu102
S3760(config-cmap)#matchaccess-group102----匹配IP地址
S3760(config-cmap)#exit
步骤三:
创建策略类:
应用之前定义的规则,配置限速大小
S3760(config)#policy-mapxiansu----创建policy-map,名字为xiansu
S3760(config-pmap)#classxiansu101----符合classxiansu101
S3760(config-pmap-c)#police8000512exceed-actiondrop----限速值为8000Kbit(1MB)
S3760(config-pmap)#classxiansu102----符合classxiansu102
S3760(config-pmap-c)#police4000512exceed-actiondrop----限速值为4000Kbit
S3760(config-pmap-c)#end
步骤四:
进入接口,应用之前定义的策略
S3760#conf
S3760(config)#intfa0/10----进入接口
S3760(config-if)#service-policyinputxiansu----将该限速策略应用在这个接口上
注释:
1.通过QOS限制上行流量
2.推荐在S2924G,S3250和S3760上应用该功能
8、如何限制交换机的端口下载速率?
Ruijie>en
Ruijie#con
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Ruijie(config)#intgi0/1----进入接口GigabitEthernet0/1
Ruijie(config-if-GigabitEthernet0/1)#rate-limitoutput
<312-1000000>KBitspersecond----限速范围312Kbits-1000M
Ruijie(config-if-GigabitEthernet0/1)#rate-limitoutput1000
<4-16384>Kburstbytes:
4,8,16,...,1024,2*1024,4*1024,...,16*1024
----设置猝发流量限制值。
需设置4,8,16等值。
Ruijie(config-if-GigabitEthernet0/1)#rate-limitoutput1000256
----设置Gi0/1端口限速1M,猝发流量256KRuijie(config-if-GigabitEthernet0/1)#endRuijie#*Jan1310:
02:
17:
%SYS-5-CONFIG_I:
ConfiguredfromconsolebyconsoleRuijie#wr
删除该端口限速配置:
Ruijie(config-if-GigabitEthernet0/1)#norate-limitoutput
注释:
1.Rate-limit基于端口限速,非基于IP;
2.支持rate-limit的output方向;限制下载速率较准确。
9、交换机dot1x认证配置?
以与SAM认证环境为例的简易配置
适用于软件平台交换机(如23系列等):
S2328G(config)#aaanew-model---开启aaa认证
S2328G(config)#aaaaccountingupdate---开启记账更新
S2328G(config)#aaaaccountingnetworkdefaultstart-stopgroupradius
---配置记账功能
S2328G(config)#aaagroupserverradiusdefault
S2328G---定义记账服务器IP
S2328G---定义认证服务器IP
S2328G(config)#radius-serverkey0ruijie---配置Radiuskey为ruijie
S2328G(config)#snmp-servercommunityruijierw---配置团体名ruijie,属性为rw
S2328G(config)#aaaauthenticationlogindefaultgroupradiuslocalnone
---配置登入设备的认证方法(见注释)
S2328G(config)#aaaauthenticationdot1xdefaultgroupradiuslocalnone---配置dot1x认证方法
S2328G(config)#dot1xaccountingdefault---开启dot1x记账功能
S2328G(config)#dot1xauthenticationdefault---开启dot1x认证功能
S2328G(config)#dot1xclient-probeenable---配置hello功能
S2328G(config)#interfaceGigabitEthernet0/1
S2328G(config-if)#dot1xport-controlauto---在接入PC的端口上使能dot1x认证
S2328G(config-if)#dot1xdynamic-vlanenable---在接入PC的端口上使能VLAN跳转
适用于非软件平台的交换机(如21系列等等):
S2328G(config)#aaaauthenticationdot1x---打开
S2328G(config)#aaaaccounting---打开计费功能
S2328G---配置认证服务器IP
S2328G---配置计费服务器IP
S2328G(config)#radius-serverkeyruijie---配置Radiuskey为ruijie
S2328G(config)#snmp-servercommunityruijierw---配置团体名ruijie,属性为rw
S2328G(config)#aaaaccountingupdate---打开计费更新
S2328G(config)#dot1xclient-probeenable---开启hello功能
S2328G(config)#interfaceGigabitEthernet0/1
S2328G(config-if)#dot1xport-controlauto---在接入PC的端口上使能dot1x认证
S2328G(config-if)#dot1xdynamic-vlanenable---在接入PC的端口上使能VLAN跳转
注释:
1)在平台的配置中,aaaauthenticationlogindefaultgroupradiuslocalnone针对这条命令,如果登入设备时不希望提示用户名和密码,则修改为:
aaaauthenticationlogindefaultnone;如果想用在交换机本地验证用户名和密码,则修改为aaaauthenticationlogindefaultlocal。
本配置模板只供初学者或实验使用,若是工程实施,还需要调整一些时间间隔参数,如记账更新间隔、hellotime时间间隔、NAS与服务器通信间隔等等。
10、如何在设备上开启DHCP服务,让不同VLAN下的电脑获得相应的IP地址?
步骤一:
配置VLAN网关IP地址,及将相关端口划入相应的VLAN中
S3760#cont
S3760(config)#vlan2----创建VLAN2
S3760(config-vlan)#exit----退回到全局配置模式下
S3760(config)#vlan3----创建VLAN3
S3760(config-vlan)#exit----退回到全局配置模式下
S3760(config)#intvlan2
----设置VLAN2的IP地址
S3760(config-if)#exit----退回到全局配置模式下
S3760(config)#intvlan3
----设置VLAN3的IP地址
S3760(config-if)#exit----退回到全局配置模式下
S3760(config)#intf0/2----进入接口f0/2
S3760(config-if)#switchportaccessvlan2
----设置f0/2口属于VLAN2
S3760(config-if)#exit
S3760(config)#intf0/3----进入接口f0/3
S3760(config-if)#switchportaccessvlan3----设置f0/3口属于VLAN3S3760(config-if)#exit
步骤二:
配置DHCPserver
S3760(config)#servicedhcp----开启dhcpserver功能
S3760(config)#ipdhcppingpackets1
----新建一个dhcp地址池名为test2
S3760(dhcp-config)#leaseinfinite----客户端的网关
S3760(dhcp-config)#exit
S3760(config)#ipdhcppooltest3----新建一个dhcp地址池名为test3
S3760(dhcp-config)#leaseinfinite
11、如何对用户ip+mac+接口进行三元素绑定?
S5750#conf
S5750(config)#intg0/23----开启端口安全功能
S5750(config)#end----退会特权模式
S5750#wr----保存配置
注释:
可以通过在接口下设置最大的安全地址个数从而来控制控制该接口下可使用的主机数,安全地址的个数跟交换机的硬件资源有关
12、如何在交换机上通过mac地址控制部分主机对网络的访问?
1、创建mac访问控制列表
创建方式1:
S5750A>en
S5750A#con
S5750A5750A
S5750A(config)#access-list700permitanyany--允许其他所有访问
创建方式2:
S5750A>en
S5750A#con
S5750A(config)#macaccess-listextendedZHOU
--创建mac访问控制列表名为ZHOU
S5750A5750A5750A(config-mac-nacl)#permitanyany--允许其他所有访问
S5750A(config-mac-nacl)#exit
2、将mac访问控制列表应用到端口或者vlan下
应用方式1——应用到端口下
S5750A(config)#interfacegigabitEthernet0/10--进入需要进行控制的端口
S5750A(config-if-GigabitEthernet0/10)#macaccess-group700in
--将之前创建的ACL700应用到端口下
S5750A(config-if-GigabitEthernet0/10)#exit
应用方式2——应用到vlan下
S5750A(config)#interfacevlan10--进入需要控制的vlan,例如vlan10
S5750A(config-if-VLAN10)#macaccess-group700in--应用创建好的ACL700
S5750A(config-if-VLAN10)#end
S5750A#wr
说明:
平台两种创建方式都可以用,非平台采用创建方式2。
13、如何实现只有在指定时段内才能够访问服务?
步骤一:
定义不允许访问的时段
S3760(config)#time-rangeff---定义一个时间段名为ff
S3760(config-time-range)#periodicdaily00:
00to07:
59
S3760(config-time-range)#periodicdaily22:
00to23:
59--说明只有8点到22点可以访问S3760(config-tiem-range)#exit
0.0.0--其余不受限制,允许通过
步骤三:
将ACL应用到接口上
S3760(config)#interfacef0/20
S3760(config-if)#ipaccess-list101in--在需要控制的接口下应用
S3760(config)#exit
注释:
在定义时间段时注意,定义的时间段不能跨越0点,所以这里需要划分成两段来配置;在限制访问FTP时,因为会使用到随机端口,所以无法把时段定义成允许访问的时段,否则数据不通,其他应用的限制需看情况而定。
应用ACL时,建议应用在物理接口的in方向。
14、如何实现主机A可以访问主机B的FTP资源,但主机B无法访问主机A的FTP资源?
步骤一:
定义ACL
S5750#conft----进入全局配置模式
S5750(config)#ipaccess-listextended100
----禁止主动向A主机发起TCP连接
S5750(config-ext-nacl)#permitipanyany----允许访问其他任何资源
S5750(config-ext-nacl)#exit----退出扩展ACL配置模式
步骤二:
将ACL应用到接口上
S5750(config)#interfaceGigabitEthernet0/1----进入连接B主机的端口
S5750(config-if)#ipaccess-group100in----将扩展ACL应用到端口下
S5750(config-if)#end----退回特权模式
S5750#wr----保存
注释:
单向ACL只能对应于TCP协议,使用PING无法对该功能进行检测。
15、交换机上启用WEB管理功能
s29>en
s29#con
s29(config)#enableserviceweb-server--配置特权密码,假设密码为ruijie
s29(config)#end
s29#wr
可选配置:
s29(config)#usernameruijierscpasswordruijiersc--配置登录用户名和密码
s29(config)#usernameruijierscprivilege15--给用户名ruijiersc赋予管理员权限
s29(config)#iphttpauthenticationlocal--采用本地配置的用户名密码登录web
s29(config)#iphttpport8080--配置web登录端,本示例采用8080若不想采用本地用户名密码认证,则做如下配置:
s29(config)#noiphttpauthentication或者s29(config)#iphttpauthenticationenable
设备登录:
1)浏览器中输入管理地址,提示如下界面:
2)输入特权密码,用户名任意。
配置本地认证时,输入配置的用户名密码。
3)Web界面显示
16、如何禁止VLAN间互相访问?
步骤一:
创建vlan10、vlan20、vlan30
S5750#conf----进入全局配置模式
S5750(config)#vlan10----创建VLAN10
S5750(config-vlan)#exit----退出VLAN配置模式
S5750(config)#vlan20----创建VLAN20
S5750(config-vlan)#exit----退出VLAN配置模式
S5750(config)#vlan30----创建VLAN30
S5750(config-vlan)#exit----退出VLAN配置模式
步骤二:
将端口加入各自vlan
S5750(config)#interfacerangegigabitEthernet0/1-5
----进入gigabitEthernet0/1-5号端口
S5750(config-if-range)#switchportaccessvlan10
----将端口加划分进vlan10
S5750(config-if-range)#exit----退出端口配置模式
S5750(config)#interfacerangegigabitEthernet0/6-10
----进入gigabitEthernet0/6-10号端口
S5750(config-if-range)#switchportaccessvlan20
----将端口加划分进vlan20
S5750(config-if-range)#exit----退出端
升级会员 