2023年11月24日发(作者:)
1.1 通过TELNET方式来配置设备
提问:如何通过telnet方式来配置设备?
回答:
步骤一:配置VLAN1的IP地址
S5750>en ----进入特权模式
S5750#conf ----进入全局配置模式
S5750(config)#int vlan 1 ----进入vlan 1接口
S5750(config-if)#ip address 192.168.0.230 255.255.255.0
----为vlan 1接口上设置管理ip
S5750(config-if)#exit ----退回到全局配置模式
步骤二:配置telnet密码
S5750(config)#line vty 0 4 ----进入telnet密码配置模式
S5750(config-line)#login ---启用需输入密码才能telnet成功
S5750(config-line)#password rscstar ----将telnet密码设置为rscstar
S5750(config-line)#exit ----回到全局配置模式
S5750(config)# enable secret level 15 0 rscstar
----配置进入特权模式的密码为rscstar
1.2 更改IOS命令的特权等级
提问:如何只允许dixy这个用户使用与ARP相关的命令?
回答:
S5750(config)#username dixy password dixy ----设置dixy用户名和密码
S5750(config)#username dixy privilege 10 ----dixy帐户的权限为10
S5750(config)#privilege exec level 10 show arp
----权限10可以使用show arp命令
S5750(config)#privilege config all level 10 arp
----权限10可以使用所有arp打头的命令
S5750(config)#line vty 0 4 ----配置telnet登陆用户
S5750(config-line)#no password
S5750(config-line)#login local
1.3设备时钟设置
提问:如何设置设备时钟?
回答:
S5750#clock set 12:45:55 11 25 2008
----设置时间为2008年11月25日12点45分55秒
S5750#clock update-calendar ----设置日历更新
S5750(config)#clock timezone CN 8 22 ----时间名字为中国,东8区22分
2.1 交换机vlan和trunk的配置
提问:如何在交换机上划分vlan,配置trunk接口?
回答:
步骤一:给交换机配置IP地址
S2724G#conf
S2724G(config)#int vlan 1
S2724G(config-if)#ip addess 192.168.0.100 255.255.255.0----给VLAN 1配置IP地址
S2724G(config-if)#no shutdown ----激活该VLAN接口
S2724G(config-if)#exit
S2724G(config)#ip default-gateway 192.168.0.1 ---指定交换机的网关地址
步骤二:创建VLAN
S2724G#conf
S2724G(config)#vlan 10 ----创建VLAN 10
S2724G(config-vlan)#exit
S2724G(config)# vlan 20 ----创建VLAN 20
S2724G(config-vlan)#exit
步骤三:把相应接口指定到相应的VLAN中
S2724G(config)#int gi 0/10
S2724G(config-if)#switch access vlan 10 ----把交换机的第10端口划到VLAN 10中
S2724G(config-if)#exit
S2724G(config)#int gi 0/20
S2724G(config-if)#switch access vlan 20 ----把交换机的第20端口划到VLAN 20中
S2724G(config-if)#exit
S2724G(config)#int gi 0/24
S2724G(config-if)#switch mode trunk ----设置24口为Trunk模式(与三层交换机的连接口
S2724G(config-if)#
步骤四:保存配置
S2724G(config-if)#end
S2724G#write
2.2 turnk接口修剪配置
提问:如何让trunk接口只允许部分vlan通过?
回答:
Switch(config)#int fa 0/24
Switch (config-if)#switch mode trunk
Switch (config-if)#switchport trunk allowed vlan remove 10,20,30-40
----不允许VLAN10,20,30-40通过Trunk口
2.3 PVLAN配置
提问:如何实现几组用户之间的隔离,但同时又都能访问公用服务?
回答:
步骤一:创建隔离VLAN
S2724G#conf
S2724G(config)#vlan 3 ----创建VLAN3
S2724G(config-vlan)#private-vlan community ----将VLAN3设为隔离VLAN
S2724G(config)#vlan 4 ----创建VLAN4
S2724G(config-vlan)#private-vlan community ----将VLAN4设为隔离VLAN
S2724G(config-vlan)#exit ----退回到特权模式
步骤二:创建主VLAN
S2724G(config)#vlan 2 ----进入VLAN2
S2724G(config-vlan)#private-vlan primary ----VLAN2为主VLAN
步骤三:将隔离VLAN加到到主VLAN中
VLANS2724G(config-vlan)#private-vlan association add 3-4
----将VLAN3和VLAN4加入到公用VLAN中,VLAN3和VLAN4的用户可以访问公用接口
步骤四:将实际的物理接口与VLAN相对应
S2724G(config)#interface GigabitEthernet 0/1
----进入接口1,该接口连接服务器或者上联设备
S2724G(config-if)#switchport mode private-vlan promiscuous
----接口模式为混杂模式
S2724G(config-if)#switchport private-vlan mapping 2 add 3-4
----将VLAN3和VLAN4映射到VLAN2上
S2724G(config)#int gi 0/10 ----进入接口10
S2724G(config-if)#switchport mode private-vlan host
S2724G(config-if)#switchport private-vlan host-association 2 3
----该接口划分入VLAN3
S2724G(config)#int gi 0/20 ----进入接口20
S2724G(config-if)#switchport mode private-vlan host
S2724G(config-if)#switchport private-vlan host-association 2 4
----该接口划分入VLAN4
步骤五:完成VLAN的映射
S2724G(config)#int vlan 2 ----进入VLAN2的SVI接口
S2724G(config-if)#ip address 192.168.2.1 255.255.255.0
----配置VLAN2的ip地址
S2724G(config-if)#private-vlan mapping add 3-4
----将VLAN3和VLAN4加入到VLAN2中
注释:
1. S20、S21不支持私有VLAN,可以通过保护端口实现类似功能
2. S3250、S3750和S5750同时支持保护端口和私有VLAN
3. S3760不支持私有VLAN和保护端口
2.4 端口汇聚配置
提问:如何将交换机的端口捆绑起来使用?
回答:
S5750#conf
S5750(config)#interface range gigabitEthernet 0/1 – 4 ----同时进入1到4号接口
S5750(config-if)#port-group 1 ----设置为聚合口1
S5750(config)#interface aggregateport 1 ----进入聚合端口1
注意:配置为AP口的接口将丢失之前所有的属性,以后关于接口的操作只能在AP1口上面
进行
2.5 生成树配置
提问:如何配置交换机的生成树?
回答:
步骤一:根桥的设置
switch_A#conf t
switch_A(config)#spanning-tree ---默认模式为MSTP
switch_A(config)#spanning-tree mst configuration
switch_A(config)#spanning-tree mst 10 priority 4096 ---设置为根桥
步骤二:非根桥的设置
switch_B#conf t
switch_B(config)#spanning-tree ---默认模式为MSTP
switch_B(config)#spanning-tree mst configuration
switch_B(config)#int f0/1 ---PC的接入端口
switch_B(config)#spanning-tree bpduguard enable
switch_B(config)#spanning-tree portfast
2.6 端口镜像设置
提问:如何配置交换机的端口镜像?
回答:
switch#conf t
switch#(config)#
switch (config)# monitor session 1 source interface gigabitEthernet 3/1 both
---监控源口为g3/1
switch (config)# monitor session 1 destination interface gigabitEthernet 3/8 s
witch ---监控目的口为g3/8,并开启交换功能
注意:S2026交换机镜像目的端口无法当做普通接口使用
3.1 交换机地址绑定(address-bind)功能
提问:如何对用户ip+mac进行两元素绑定?
回答:
S5750#conf
S5750(config)# address-bind 192.168.0.101 0016.d390.6cc5
----绑定ip地址为192.168.0.101 MAC地址为0016.d390.6cc5的主机让其使用网络
S5750(config)# address-bind uplink GigabitEthernet 0/1
----将g0/1口设置为上联口,也就是交换机通过g0/1的接口连接到路由器或是出口设备,
如果接口选择错误会导致整网不通
S5750(config)# address-bind install ----使能address-bind功能
S5750(config)#end ----退回特权模式
S5750# wr ----保存配置
注释:
1. 如果修改ip或是MAC地址该主机则无法使用网络,可以按照此命令添加多条,添加的条
数跟交换机的硬件资源有关
2. S21交换机的address-bind功能是防止Ip冲突,只有在交换机上绑定的才进行ip和M
AC的匹配,如果下边用户设置的ip地址在交换机中没绑定,交换机不对该数据包做控制,
直接转发。
3.2 交换机端口安全功能
提问:如何对用户ip+mac+接口进行三元素绑定?
回答:
S5750#conf
S5750(config)# int g0/23 ----进入第23接口,准备在该接口绑定用户的MAC和ip地址
S5750(config-if)# switchport port-security mac-address 0016.d390.6cc5 ip-addres
s 192.168.0.101
----在23端口下绑定ip地址是192.168.0.101 MAC地址是0016.d390.6cc5的主机,确保
该主机可以正常使用网络,如果该主机修改ip或者MAC地址则无法使用网络,可以添加多
条来实现对接入主机的控制
S5750(config-if)# switchport port-security ----开启端口安全功能
S5750(config)#end ----退会特权模式
S5750# wr ----保存配置
注释:可以通过在接口下设置最大的安全地址个数从而来控制控制该接口下可使用的主机
数,安全地址的个数跟交换机的硬件资源有关
3.3 交换机arp-check功能
提问:如何防止错误的arp信息在网络里传播?
回答:
S5750#conf
S5750(config)# int g0/23 ----进入第23接口,准备在该接口绑定用户的MAC和ip地址
S5750(config-if)# switchport port-security mac-address 0016.d390.6cc5 ip-addres
s 192.168.0.101 ----ip+mac绑定信息
S5750(config-if)# switchport port-security ----开启端口安全功能
S5750(config-if)# switchport port-security arp-check ----开启端arp检查功能
S5750(config)#end ----退会特权模式
S5750# wr ----保存配置
注释:开启arp-check功能后安全地址数减少一半,具体情况请查阅交换机配置指南
3.4 交换机ARP动态检测功能(DAI)
提问:如何在动态环境下防止ARP欺骗?
回答:
步骤一: 配置DHCP snooping
S3760#con t
S3760(config)#ip dhcp snooping ----开启dhcp snooping
S3760(config)#int f 0/1
S3760(config-if)#ip dhcp snooping trust ----设置上连口为信任端口(注意:缺省
所有端口都是不信任端口),只有此接口连接的服务器发出的DHCP响应报文才能够被转发.
S3760(config-if)#exit
S3760(config)#int f 0/2
S3760(config-if)# ip dhcp snooping address-bind
----配置DHCP snooping的地址绑定功能
S3760(config-if)#exit
S3760(config)#int f 0/3
S3760(config-if)# ip dhcp snooping address-bind
----配置DHCP snooping的地址绑定功能
步骤二: 配置DAI
S3760(config)# ip arp inspection ----启用全局的DAI
S3760(config)# ip arp inspection vlan 2 ----启用vlan2的DAI报文检查功能
S3760(config)# ip arp inspection vlan 3 ----启用vlan3的DAI报文检查功能
4.1 标准ACL配置
提问:如何只允许端口下的用户只能访问特定的服务器网段?
回答:
步骤一:定义ACL
S5750#conf t ----进入全局配置模式
S5750(config)#ip access-list standard 1 ----定义标准ACL
S5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255 ----允许访问服务器资源
S5750(config-std-nacl)#deny any ----拒绝访问其他任何资源
S5750(config-std-nacl)#exit ----退出标准ACL配置模式
步骤二:将ACL应用到接口上
S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口
S5750(config-if)#ip access-group 1 in ----将标准ACL应用到端口in方向
注释:
1. S1900系列、S20系列交换机不支持基于硬件的ACL。
2. 实际配置时需注意,在交换机每个ACL末尾都隐含着一条“拒绝所有数据流”的语句。
3. 以上所有配置,均以锐捷网络S5750-24GT/12SFP 软件版本10.2(2)为例。
其他说明,其详见各产品的配置手册《访问控制列表配置》一节。
4.2 扩展ACL配置
提问:如何禁止用户访问单个网页服务器?
回答:
步骤一:定义ACL
S5750#conf t ----进入全局配置模式
S5750(config)#ip access-list extended 100 ----创建扩展ACL
S5750(config-ext-nacl)#deny tcp any host 192.168.1.254 eq www
----禁止访问web服务器
S5750(config-ext-nacl)#deny tcp any any eq 135 ----预防冲击波病毒
S5750(config-ext-nacl)#deny tcp any any eq 445 ----预防震荡波病毒
S5750(config-ext-nacl)#permit ip any any ----允许访问其他任何资源
S5750(config-ext-nacl)#exit ----退出ACL配置模式
步骤二:将ACL应用到接口上
S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口
S5750(config-if)#ip access-group 100 in ----将扩展ACL应用到端口下
4.3 VLAN之间的ACL配置
提问:如何禁止VLAN间互相访问?
回答:
步骤一:创建vlan10、vlan20、vlan30
S5750#conf ----进入全局配置模式
S5750(config)#vlan 10 ----创建VLAN10
S5750(config-vlan)#exit ----退出VLAN配置模式
S5750(config)#vlan 20 ----创建VLAN20
S5750(config-vlan)#exit ----退出VLAN配置模式
S5750(config)#vlan 30 ----创建VLAN30
S5750(config-vlan)#exit ----退出VLAN配置模式
4.4 单向ACL的配置
提问:如何实现主机A可以访问主机B的FTP资源,但主机B无法访问主机A的FTP资源??
回答:
步骤一:定义ACL
S5750#conf t ----进入全局配置模式
S5750(config)#ip access-list extended 100 ----定义扩展ACL
S5750(config-ext-nacl)#deny tcp any host 192.168.1.254 match-all syn
----禁止主动向A主机发起TCP连接
S5750(config-ext-nacl)#permit ip any any ----允许访问其他任何资源
S5750(config-ext-nacl)#exit ----退出扩展ACL配置模式
步骤二:将ACL应用到接口上
S5750(config)#interface GigabitEthernet 0/1 ----进入连接B主机的端口
S5750(config-if)#ip access-group 100 in ----将扩展ACL应用到端口下
S5750(config-if)#end ----退回特权模式
S5750#wr ----保存
注释:单向ACL只能对应于TCP协议,使用PING无法对该功能进行检测
5.1 DHCP服务配置
提问:如何在设备上开启DHCP服务,让不同VLAN下的电脑获得相应的IP地址?
回答:
步骤一:配置VLAN网关IP地址,及将相关端口划入相应的VLAN中
S3760#con t
S3760(config)#vlan 2 ----创建VLAN2
S3760(config-vlan)#exit ----退回到全局配置模式下
S3760(config)#vlan 3 ----创建VLAN3
S3760(config-vlan)#exit ----退回到全局配置模式下
S3760(config)#int vlan 2 ----进入配置VLAN2
S3760(config-if)#ip add 192.168.2.1 255.255.255.0 ----设置VLAN2的IP地址
S3760(config-if)#exit ----退回到全局配置模式下
S3760(config)#int vlan 3 ----进入配置VLAN3
S3760(config-if)#ip add 192.168.3.1 255.255.255.0 ----设置VLAN3的IP地址
5.2 交换机dot1x认证配置
提问:如何在交换机上开启dot1x认证?
回答:
步骤一:基本AAA配置
Switch#conf
Switch(config)# aaa new-model ----启用认证
Switch(config)# aaa accounting network test start-stop group radius
----配置身份认证方法
Switch(config)# aaa group server radius test
Switch(config-gs-radius)# server X.X.X.X ----指定记帐服务器地址
Switch(config-gs-radius)# exit
Switch(config)# aaa authentication dot1x default group radius local
----配置dot1x认证方法
5.3 QOS限速配置
提问:如何通过QOS实行限速?
回答:
步骤一:定义希望限速的主机范围
S3760>en
S3760#conf
S3760(config)#access-list 101 permit ip host 192.168.1.101 any
----定义要限速的IP
S3760(config)#access-list 102 permit ip host 192.168.1.102 any
----定义要限速的IP
步骤二:创建规则类,应用之前定义的主机范围
S3760(config)#class-map xiansu101 ----创建class-map,名字为xiansu101
S3760(config-cmap)#match access-group 101 ----匹配IP地址
S3760(config-cmap)#exit
S3760(config)#class-map xiansu102 ----创建class-map,名字为xiansu102
S3760(config-cmap)#match access-group 102 ----匹配IP地址
S3760(config-cmap)#exit
5.4 IPsec配置
提问:如何在两台路由器之间启用IPsec?
回答:
R1路由器设置
步骤一:配置访问控制列表,定义需要IPsec保护的数据
R1(config)#access-list 101 permit ip host 1.1.1.1 host 1.1.1.2
步骤二:定义安全联盟和密钥交换策略
R1(config)#crypto isakmp policy 1
R1(isakmp-policy)#authentication pre-share ----认证方式为预共享密钥
R1(isakmp-policy)#hash md5 ----采用MD5的HASH算法
步骤三:配置预共享密钥为dixy,对端路由器地址为1.1.1.2
R1(config)#crypto isakmp key 0 dixy address 1.1.1.2
5.5 GRE配置
提问:如何在两台路由器之间启用GRE?
回答:
NBR(config)#interface Tunnel0
NBR(config-if)#ip address 1.1.1.1 255.255.255.0
NBR (config-if)#tunnel mode gre ip
NBR (config-if)#tunnel source 10.1.1.1
NBR (config-if)#tunnel destination 10.1.1.2
5.6 PPTP配置
提问:如何在路由器上配置PPTP?
回答:
步骤一:配置VPN相关参数
R1762#conf
R1762(config)#vpdn enable
R1762(config)#vpdn-group pptp ----创建一个VPDN组,命名为pptp
R1762(config-vpdn)#accept-dialin ----允许拨号
R1762(config-vpdn-acc-in)#protocol pptp ----协议为PPTP
R1762(config-vpdn-acc-in)#virtual-template 1 ----引用虚模板1
步骤二:配置用户和地址池
R1762(config)#username test password 0 test
----创建一个账户,用户和密码都是test
R1762(config)#ip local pool vpn 192.168.1.100 192.168.1.110
----创建vpn拨入的地址池,命名为vpn,范围是192.168.1.100-110
5.7 路由器L2TP配置
提问:如何在两台路由器之间构建L2TP?
回答:
步骤一:SERVER端路由器配置VPN相关参数
R1762#conf
R1762(config)#vpdn enable
R1762(config)#vpdn-group l2tp ----创建一个VPDN组,命名为l2tp
R1762(config-vpdn)#accept-dialin ----允许拨号
R1762(config-vpdn-acc-in)#protocol l2tp ----协议为l2tp
R1762(config-vpdn-acc-in)#virtual-template 1 ----引用虚模板1
步骤二:SERVER端路由器配置用户和地址池
R1762(config)#username test password 0 test
----创建一个账户,用户和密码都是test
R1762(config)#ip local pool vpn 192.168.1.100 192.168.1.110
----创建vpn拨入的地址池,命名为vpn,范围是192.168.1.100-110
5.8 路由器NAT配置
提问:如何设置NAT?
回答:
NBR(config)#access-list 10 permit 192.168.10.0 0.0.0.255
----设置允许NAT的地址范围
NBR(config)#interface FastEthernet 1/0
NBR(config-if)#ip nat outside ----定义外网接口
NBR(config)#interface FastEthernet 0/0
NBR(config-if)#ip nat inside ----定义内网接口
NBR(config)#ip nat pool defult prefix-length 24
----创建一个地址池,命名为defult
NBR(config-ipnat-pool)#address 208.10.34.2 208.10.34.7 match interface FastEthe
rnet 1/0 ----公网地址范围为208.10.34.2到 208.10.34.7
NBR(config)#ip nat inside source list 10 pool test overload ----应用地址池
6.1 默认路由配置
提问:如何在设备上配置默认路由?
回答:
Ruijie#configure terminal
Ruijie (config)#ip route 0.0.0.0 0.0.0.0 fastEthernet 0/0 10.0.0.1
----路由下一跳接口为fa0/0,下一跳网关为10.0.0.1
6.2 静态路由配置
提问:如何在设备上配置静态路由?
回答:
Ruijie#configure terminal
Ruijie (config)#ip route 192.168.1.0 255.255.255.0 fastEthernet 0/0 10.0.0.1
----去往192.168.1.0网段的路由,下一跳接口为fa0/0,下一跳网关为10.0.0.1
6.3 浮动路由配置
提问:如何在设备上配置浮动路由?
回答:
Ruijie#configure terminal
Ruijie (config)#ip route 0.0.0.0 0.0.0.0 fastEthernet 0/0 10.0.0.1
Ruijie (config)#ip route 0.0.0.0 0.0.0.0 fastEthernet 1/0 20.0.0.1 90
----当fa0/0出现问题后,所有路由由接口fa1/0,送往网关20.0.0.1
6.4 策略路由配置
提问:希望部分IP走A线路,另一部分IP走B线路?
回答:
步骤一:配置匹配源的ACL
Ruijie#configure terminal
Ruijie (config)#access-list 1 permit 192.168.1.0 0.0.0.255 ----配置地址列表
Ruijie (config)#access-list 2 permit 192.168.2.0 0.0.0.255 ----配置地址列表
步骤二:配置route-map
Ruijie(config)#route-map test permit 10 ----创建路由映射规则
Ruijie(config-route-map)#match ip address 1 ----符合地址列表1
Ruijie(config-route-map)#set ip next-hop 1.1.1.1 ----执行动作是送往1.1.1.1
Ruijie(config-route-map)#exit
Ruijie(config)#route-map test permit 20
Ruijie(config-route-map)#match ip address 2 ----符合地址列表2
Ruijie(config-route-map)#set ip next-hop 2.2.2.1 ----执行动作是送往2.2.2.1
Ruijie(config-route-map)#exit
步骤三:在接口上应用route-map
Ruijie config)#interface GigabitEthernet 0/0 ----进入设备内网口
Ruijie(config-if)#ip address 192.168.1.1 255.255.255.0 --配置各个网段的ip地址
Ruijie(config-if)#ip address 192.168.2.1 255.255.255.0 secondary
Ruijie(config-if)#ip policy route-map test ----应用之前定义的路由映射
Ruijie(config-if)#exit
注释:缺省情况下route map的最后一句都是deny all,这样不符合route map规则的数
据包都会按照正常的路由表进行转发。
6.5 OSPF配置
提问:在设备上启用OSPF功能?
回答:
Ruijie#configure terminal
Ruijie(config)# router ospf 1 ----OSPF进程号为1,本地有效
Ruijie(config-router)#network 0.0.0.0 255.255.255.255 area 0
----该设备上所有IP地址都参与到该OSPF进程中,进入area 0
Ruijie(config-router)#exit
Ruijie(config)#end
注释:这里OSPF 的进程号是本地使用,不需要像 EIGRP 一样整个网络保持一致。
6.6 OSPF中router ID配置
提问:如何手工配置router ID?
回答:
Ruijie(config)# router ospf 1
Ruijie(config-router)#Router-id 100.100.100.100
Change router-id and update OSPF process! [yes/no]:y
注释:设备缺省会用使用最大IP地址的环回口地址为RID,如果没有环回口则启用最大 IP
地址的物理口作为Router ID。手工配置的Router ID命令后面的 IP地址可以随意,不需
要必须是存在的地址。另外 Router ID一旦定下来以后,即使重新修改了接口地址也不会
使其变更,必须通过clear ip ospf process 的方式或者reload 的方式来改变。
发布评论