2023年12月15日发(作者:)
交换机和路由器的配置案例(来自锐捷工程师的回答)
一、交换机部分
1、RG-S3760-24 QOS 如何配置?
步骤一:定义希望限速的主机范围
S3760>en
S3760#conf
S3760(config)#access-list 101 permit ip host 192.168.1.101 any ----定义要限速的IP
S3760(config)#access-list 102 permit ip host 192.168.1.102 any ----定义要限速的IP
步骤二:创建规则类,应用之前定义的主机范围
S3760(config)#class-map xiansu101 ----创建class-map,名字为xiansu101
S3760(config-cmap)#match access-group 101 ----匹配IP地址
S3760(config-cmap)#exit
S3760(config)#class-map xiansu102 ----创建class-map,名字为xiansu102
S3760(config-cmap)#match access-group 102 ----匹配IP地址
S3760(config-cmap)#exit
步骤三:创建策略类:应用之前定义的规则,配置限速大小
S3760(config)#policy-map xiansu ----创建policy-map,名字为xiansu
S3760(config-pmap)#class xiansu101 ----符合class
xiansu101
S3760(config-pmap-c)#police 8000 512 exceed-action drop ----限速值为8000Kbit(1MB)
S3760(config-pmap)#class xiansu102 ----符合class
xiansu102
S3760(config-pmap-c)#police 4000 512 exceed-action drop ----限速值为4000Kbit
S3760(config-pmap-c)#end
步骤四:进入接口,应用之前定义的策略
S3760#conf
S3760(config)#int
0/10 ----进入接口
S3760(config-if)#service-policy input xiansu ----将该限速策略应用在这个接口上
注释:
1. 通过QOS 限制上行流量
fa
2. 推荐在S2924G,S3250和S3760上应用该功能
2、RG-S2652G-E如何配置 某台电脑不能上网,我的意思就是如何在交换机上面添加命令,设置某个网卡地址不能通过此交换机上网而不影响其他机器!
范例:受限的ip:192.168.1.2
步骤一:定义ACL
S2652G#conf
t
----进入全局配置模式
S2652G(config)#ip access-list ex test
义扩展的ACL
S2652G(config-std-nacl)#permit ip host 192.168.1.2 192.168.1.0
----只允许访问内网
S2652G(config-std-nacl)#deny ip any any
绝访问其他任何资源
S2652G(config-std-nacl)#exit
标准ACL配置模式
步骤二:将ACL应用到接口上
S2652G(config)#interface fastEthernet 0/1
S2652G(config-if)#ip access-group test in
方向
3、如何对用户ip+mac+接口进行三元素绑定?
S5750#conf
S5750(config)# int g0/23
----进入第23接口,准备在该接口绑定用户的MAC和ip地址
S5750(config-if)# switchport port-security mac-address
192.168.0.101
----定 ----拒 ----退出 ----进入所需应用的端口
----将标准ACL应用到端口in0016.d390.6cc5 ip-address
255.255.255.0
----在23端口下绑定ip地址是192.168.0.101 MAC地址是0016.d390.6cc5的主机,确保该主机可以正常使用网络,如果该主机修改ip或者MAC地址则无法使用网络,可以添加多条来实现对接入主机的控制
S5750(config-if)# switchport port-security ----开启端口安全功能
S5750(config)#end
----退会特权模式
S5750#
wr
----保存配置
注释:可以通过在接口下设置最大的安全地址个数从而来控制控制该接口下可使用的主机数,安全地址的个数跟交换机的硬件资源有关
4、如果我想在交换机s2328的0/3这个端口中只允许"192.168.1.11至192.168.1.19"这几个IP地址通过,请问配置时如何实现?我需要具体的方式
s2328G#conf
s2328G(config)#ip access-list ex test
S2328G(config-ext-nacl)#permit ip host 192.168.1.11 any
S2328G(config-ext-nacl)#permit ip host 192.168.1.12 any
S2328G(config-ext-nacl)#permit ip host 192.168.1.13 any
S2328G(config-ext-nacl)#permit ip host 192.168.1.14 any
S2328G(config-ext-nacl)#permit ip host 192.168.1.15 any
S2328G(config-ext-nacl)#permit ip host 192.168.1.16 any
S2328G(config-ext-nacl)#permit ip host 192.168.1.17 any
S2328G(config-ext-nacl)#permit ip host 192.168.1.18 any
S2328G(config-ext-nacl)#permit ip host 192.168.1.19 any
S2328G(config-ext-nacl)#deny ip any any
S2328G(config-ext-nacl)#exit
s2328G(config)#int f 0/3
s2328G(config)#ip access-group test in
5、现在我在3760做了VLAN2,VLAN2的IP是10.121.63.254,255.255.255.0,然后我在防火墙里做了过滤,只允许10.121.63.250这个IP可以上网,其他的上不了。现在我想把10.121.63.250这个IP与MAC地址为A.B.C.D的这台电脑绑定,让VLAN2里的其他电脑即使把IP修改为10.121.63.250也上不了网,不知道有没有办法。但是有特殊情况的时候,就是整个VLAN里的电脑都要上外网,我在防火墙里的限制10.121.63.0/24的设置取消就可,我的37的版本是10.2的
S3760#conf
S3760(config)# address-bind 10.121.63.250
----绑定ip地址为10.121.63.250 MAC地址为的主机让其使用网络
6、如何配置端口捆绑,提高交换机链接的带宽?
下面的例子是将二层的以太网接口0/1 配置成二层AP 5 成员:
Ruijie# configure terminal
Ruijie(config)# interface range gigabitEthernet 0/1
Ruijie(config-if-range)# port-group 5
Ruijie(config-if-range)# end
您可以在全局配置模式下使用命令 Ruijie(config)# interface aggregateport n (n
为AP 号)来直接创建一个AP(如果AP n 不存在)。
注意:
将普通端口加入某个AP 口后,当该端口再次从ap 口退出时,普通端口上的原先
相关的配置可能会恢复为缺省的配置。不同功能对ap 口的成员的原有配置的处理
方式有所不同,因此建议在端口从ap 口退出后,应查看并确认端口的配置。
7、如何通过QOS实行限速?
步骤一:定义希望限速的主机范围
S3760>en
S3760#conf
S3760(config)#access-list 101 permit ip host 192.168.1.101 any ----定义要限速的IP
S3760(config)#access-list 102 permit ip host 192.168.1.102 any ----定义要限速的IP
步骤二:创建规则类,应用之前定义的主机范围
S3760(config)#class-map xiansu101 ----创建class-map,名字为xiansu101
S3760(config-cmap)#match access-group 101 ----匹配IP地址
S3760(config-cmap)#exit
S3760(config)#class-map xiansu102 ----创建class-map,名字为xiansu102
S3760(config-cmap)#match access-group 102 ----匹配IP地址
S3760(config-cmap)#exit
步骤三:创建策略类:应用之前定义的规则,配置限速大小
S3760(config)#policy-map xiansu ----创建policy-map,名字为xiansu
S3760(config-pmap)#class xiansu101 ----符合class
xiansu101
S3760(config-pmap-c)#police 8000 512 exceed-action drop ----限速值为8000Kbit(1MB)
S3760(config-pmap)#class xiansu102 ----符合class
xiansu102
S3760(config-pmap-c)#police 4000 512 exceed-action drop ----限速值为4000Kbit
S3760(config-pmap-c)#end
步骤四:进入接口,应用之前定义的策略
S3760#conf
S3760(config)#int
0/10 ----进入接口
fa
S3760(config-if)#service-policy input xiansu ----将该限速策略应用在这个接口上
注释:
1. 通过QOS 限制上行流量
2. 推荐在S2924G,S3250和S3760上应用该功能
8、如何限制交换机的端口下载速率?
Ruijie>en
Ruijie#con
Enter configuration commands, one per line. End with CNTL/Z.
Ruijie(config)#int gi0/1 ----进入接口GigabitEthernet 0/1
Ruijie(config-if-GigabitEthernet 0/1)#rate-limit output ?
<312-1000000> KBits per second ----限速范围312Kbits-1000M
Ruijie(config-if-GigabitEthernet 0/1)#rate-limit output 1000 ?
<4-16384> K burst bytes: 4,8,16,...,1024,2*1024,4*1024,...,16*1024
----设置猝发流量限制值。需设置4,8,16等值。
Ruijie(config-if-GigabitEthernet 0/1)#rate-limit output 1000 256
----设置Gi0/1端口限速1M,猝发流量256K
Ruijie(config-if-GigabitEthernet 0/1)#end
Ruijie#*Jan 13 10:02:17: %SYS-5-CONFIG_I: Configured from console by console
Ruijie#wr
删除该端口限速配置:
Ruijie(config-if-GigabitEthernet 0/1)#no rate-limit output
注释:
1. Rate-limit基于端口限速,非基于IP;
2. 支持rate-limit 的output方向;
限制下载速率较准确。
9、交换机dot1x认证配置?
以与SAM认证环境为例的简易配置
适用于10.x软件平台交换机(如23系列等):
S2328G(config)#aaa new-model ---开启aaa认证
S2328G(config)#aaa accounting update ---开启记账更新
S2328G(config)#aaa accounting network default start-stop group radius
---配置记账功能
S2328G(config)#aaa group server radius default
S2328G(config-gs-radius)#server 192.168.204.57 ---定义记账服务器IP
S2328G(config)#radius-server host 192.168.204.57 ---定义认证服务器IP
S2328G(config)#radius-server key 0 ruijie ---配置Radius key为ruijie
S2328G(config)#snmp-server community ruijie rw ---配置团体名ruijie,属性为rw
S2328G(config)#aaa authentication login default group radius local none
---配置登入设备的认证方法(见注释)
S2328G(config)#aaa authentication dot1x default group radius local none
配置dot1x认证方法
S2328G(config)#dot1x accounting default ---开启dot1x记账功能
S2328G(config)#dot1x authentication default ---开启dot1x认证功能
S2328G(config)#dot1x client-probe enable ---配置hello功能
---
S2328G(config)#interface GigabitEthernet 0/1
S2328G(config-if)#dot1x port-control auto ---在接入PC的端口上使能dot1x认证
S2328G(config-if)#dot1x dynamic-vlan enable ---在接入PC的端口上使能VLAN跳转
适用于非10.x软件平台的交换机(如21系列等等):
S2328G(config)# aaa authentication dot1x ---打开802.1x
S2328G(config)# aaa accounting ---打开计费功能
S2328G(config)# radius-server host 192.168.5.183 ---配置认证服务器IP
S2328G(config)# aaa accounting server 192.168.5.183 ---配置计费服务器IP
S2328G(config)#radius-server key ruijie ---配置Radius key为ruijie
S2328G(config)#snmp-server community ruijie rw ---配置团体名ruijie,属性为rw
S2328G(config)# aaa accounting update ---打开计费更新
S2328G(config)#dot1x client-probe enable ---开启hello功能
S2328G(config)#interface GigabitEthernet 0/1
S2328G(config-if)#dot1x port-control auto ---在接入PC的端口上使能dot1x认证
S2328G(config-if)#dot1x dynamic-vlan enable ---在接入PC的端口上使能VLAN跳转
注释:
1) 在10.x平台的配置中,aaa authentication login default group radius local none针对这条命令,如果登入设备时不希望提示用户名和密码,则修改为:aaa authentication login default none;如果想用在交换机本地验证用户名和密码,则修改为aaa authentication login default local。
本配置模板只供初学者或实验使用,若是工程实施,还需要调整一些时间间隔参数,如记账更新间隔、hello
time时间间隔、NAS与服务器通信间隔等等。
10、如何在设备上开启DHCP服务,让不同VLAN下的电脑获得相应的IP地址?
步骤一:配置VLAN网关IP地址,及将相关端口划入相应的VLAN中
S3760#con t
S3760(config)#vlan
2 ----创建VLAN2
S3760(config-vlan)#exit ----退回到全局配置模式下
S3760(config)#vlan
3 ----创建VLAN3
S3760(config-vlan)#exit
回到全局配置模式下
S3760(config)#int
2
S3760(config-if)#ip add 192.168.2.1 255.255.255.0
----设置VLAN2的IP地址
S3760(config-if)#exit
退回到全局配置模式下
S3760(config)#int
3
S3760(config-if)#ip add 192.168.3.1 255.255.255.0
----设置VLAN3的IP地址
S3760(config-if)#exit
退回到全局配置模式下
S3760(config)#int
0/2
f0/2
S3760(config-if)#switchport access vlan 2
----设置f0/2口属于VLAN2
S3760(config-if)#exit
----退vlan
----进入配置VLAN2
----vlan
----进入配置VLAN3
----f
----进入接口
S3760(config)#int
f0/3
f
0/3 ----进入接口S3760(config-if)#switchport access vlan 3 ----设置f0/3口属于VLAN3
S3760(config-if)#exit
步骤二:配置DHCP server
S3760 (config)#service dhcp ----开启dhcp server功能
S3760 (config)#ip dhcp ping packets 1
----在dhcp server分配IP时会先去检测将要分配的IP地址是否已有人使用,如果没人使用则分配,若已有人使用则再分配下一个IP
S3760 (config)#ip dhcp excluded-address 192.168.2.1 192.168.2.10
----设置排斥地址为192.168.2.1至192.168.2.10的ip地址不分配给客户端(可选配置)
S3760 (config)#ip dhcp excluded-address 192.168.3.1 192.168.3.10
----设置排斥地址为192.168.3.1至192.168.3.10的ip地址不分配给客户端(可选配置)
S3760 (config)#ip dhcp pool test2 ----新建一个dhcp地址池名为test2
S3760 (dhcp-config)# lease infinite ----租期时间设置为永久
S3760 (dhcp-config)# network 192.168.2.0 255.255.255.0
----给客户端分配的地址段
S3760 (dhcp-config)# dns-server 202.101.115.55 ----给客户端分配的DNS
S3760(dhcp-config)# default-router 192.168.2.1 ----客户端的网关
S3760(dhcp-config)#exit
S3760(config)#ip dhcp pool test3 ----新建一个dhcp地址池名为test3
S3760(dhcp-config)# lease infinite ----租期时间设置为永久
S3760(dhcp-config)# network 192.168.3.0 255.255.255.0
S3760(dhcp-config)# dns-server 202.101.115.55
S3760(dhcp-config)# default-router 192.168.3.1
S3760(dhcp-config)#end
S3760#wr
11、如何对用户ip+mac+接口进行三元素绑定?
S5750#conf
S5750(config)# int g0/23
----进入第23接口,准备在该接口绑定用户的MAC和ip地址
S5750(config-if)#
192.168.0.101
----在23端口下绑定ip地址是192.168.0.101 MAC地址是0016.d390.6cc5的主机,确保该主机可以正常使用网络,如果该主机修改ip或者MAC地址则无法使用网络,可以添加多条来实现对接入主机的控制
S5750(config-if)# switchport port-security ----开启端口安全功能
S5750(config)#end
----退会特权模式
S5750#
wr
----保存配置
注释:可以通过在接口下设置最大的安全地址个数从而来控制控制该接口下可使用的主机数,安全地址的个数跟交换机的硬件资源有关
12、如何在交换机上通过mac地址控制部分主机对网络的访问?
1、创建mac访问控制列表
创建方式1:
S5750A>en
S5750A#con
switchport port-security mac-address 0016.d390.6cc5 ip-address
S5750A(config)#access-list 700 deny host host 1111.1111.1111
--禁止主机访问主机1111.1111.1111,交换机上700-799的ID号用于mac访问控制列表。
S5750A(config)#access-list 700 deny host any
--禁止主机访问任何数据
S5750A(config)#access-list 700 permit any any --允许其他所有访问
创建方式2:
S5750A>en
S5750A#con
S5750A(config)#mac access-list extended ZHOU
--创建mac访问控制列表名为ZHOU
S5750A(config-mac-nacl)#deny host host 1111.1111.1111
--禁止主机访问主机1111.1111.1111
S5750A(config-mac-nacl)#deny host any
--禁止主机访问所有网络
S5750A(config-mac-nacl)#permit any any --允许其他所有访问
S5750A(config-mac-nacl)#exit
2、将mac访问控制列表应用到端口或者vlan下
应用方式1——应用到端口下
S5750A(config)#interface gigabitEthernet 0/10 --进入需要进行控制的端口
S5750A(config-if-GigabitEthernet 0/10)#mac access-group 700 in
--将之前创建的ACL 700应用到端口下
S5750A(config-if-GigabitEthernet 0/10)#exit
应用方式2——应用到vlan下
S5750A(config)#interface vlan 10 --进入需要控制的vlan,例如vlan 10
S5750A(config-if-VLAN 10)#mac access-group 700 in --应用创建好的ACL 700
S5750A(config-if-VLAN 10)#end
S5750A#wr
说明:10.X平台两种创建方式都可以用,非10.X平台采用创建方式2 。
13、如何实现只有在指定时段内才能够访问服务?
步骤一:定义不允许访问的时段
S3760(config)# time-range ff ---定义一个时间段名为ff
S3760(config-time-range)#periodic daily 00:00 to 07:59
S3760(config-time-range)#periodic daily 22:00 to 23:59
--说明只有8点到22点可以访问
S3760(config-tiem-range)# exit
步骤二:定义时间段ACL
S3760(config)# access-list 101 deny tcp 192.168.20.0 0.0.0.255 host 192.168.5.2 eq ftp time-range
ff
--定义192.168.20网段用户,在ff时间段内不允许访问192.168.5.2的FTP服务
S3760(config)# access-list 101 permit ip any any --其余不受限制,允许通过
步骤三:将ACL应用到接口上
S3760(config)# interface f0/20
S3760(config-if)#ip access-list 101 in --在需要控制的接口下应用
S3760(config)# exit
注释:
在定义时间段时注意,定义的时间段不能跨越0点,所以这里需要划分成两段来配置;
在限制访问FTP时,因为会使用到随机端口,所以无法把时段定义成允许访问的时段,否则数据不通,其他应用的限制需看情况而定。
应用ACL时,建议应用在物理接口的in方向。
14、如何实现主机A可以访问主机B的FTP资源,但主机B无法访问主机A的FTP资源?
步骤一:定义ACL
S5750#conf
t
----进入全局配置模式
S5750(config)#ip access-list extended 100 ----定义扩展ACL
S5750(config-ext-nacl)#deny tcp any host 192.168.1.254 match-all syn
----禁止主动向A主机发起TCP连接
S5750(config-ext-nacl)#permit ip any any ----允许访问其他任何资源
S5750(config-ext-nacl)#exit ----退出扩展ACL配置模式
步骤二:将ACL应用到接口上
S5750(config)#interface GigabitEthernet 0/1 ----进入连接B主机的端口
S5750(config-if)#ip access-group 100 in ----将扩展ACL应用到端口下
S5750(config-if)#end
----退回特权模式
S5750#wr
----保存
注释:单向ACL只能对应于TCP协议,使用PING无法对该功能进行检测。
15、交换机上启用WEB管理功能
s29>en
s29#con
s29(config)#enable service web-server --全局开启web功能
s29(config)# int vlan 1
s29(config-if)# ip add 192.168.1.254 255.255.255.0
--配置管理地址,假设管理vlan为1,管理地址为192.168.1.254
s29(config-if)#no shut
s29(config-if)#exit
s29(config)#enable secret level 15 0 ruijie --配置特权密码,假设密码为ruijie
s29(config)#end
s29#wr
可选配置:
s29(config)# username ruijiersc password ruijiersc --配置登录用户名和密码
s29(config)# username ruijiersc privilege 15 --给用户名ruijiersc赋予管理员权限
s29(config)# ip http authentication local --采用本地配置的用户名密码登录web
s29(config)# ip http port 8080 --配置web登录端,本示例采用8080
若不想采用本地用户名密码认证,则做如下配置:
s29(config)#no ip http authentication
或者s29(config)# ip http authentication enable
设备登录:
1) 浏览器中输入管理地址,提示如下界面:
2)输入特权密码,用户名任意。配置本地认证时,输入配置的用户名密码。
3)Web界面显示
注意:
目前支持web管理的交换机包括S23系列,S26系列,S27系列,S29系列,
支持版本为10.2(4)及以上版本。
S27默认的管理ip为192.168.1.200,默认用户名admin,密码admin
16、如何禁止VLAN间互相访问?
步骤一:创建vlan10、vlan20、vlan30
S5750#conf
----进入全局配置模式
S5750(config)#vlan
10 ----创建VLAN10
S5750(config-vlan)#exit ----退出VLAN配置模式
S5750(config)#vlan
20 ----创建VLAN20
S5750(config-vlan)#exit ----退出VLAN配置模式
S5750(config)#vlan
30 ----创建VLAN30
S5750(config-vlan)#exit
--退出VLAN配置模式
步骤二:将端口加入各自vlan
S5750(config)# interface range gigabitEthernet 0/1-5
----进入gigabitEthernet 0/1-5号端口
S5750(config-if-range)#switchport access vlan 10
----将端口加划分进vlan10
S5750(config-if-range)#exit
--退出端口配置模式
S5750(config)# interface range gigabitEthernet 0/6-10
----进入gigabitEthernet 0/6-10号端口
S5750(config-if-range)#switchport access vlan 20
----将端口加划分进vlan20
S5750(config-if-range)#exit
--退出端口配置模式
S5750(config)# interface range gigabitEthernet 0/11-15
----进入gigabitEthernet 0/11-15号端口
S5750(config-if-range)#switchport access vlan 30
------
----将端口加划分进vlan30
S5750(config-if-range)#exit ----退出端口配置模式
步骤三:配置vlan10、vlan20、vlan30的网关IP地址
S5750(config)#interface vlan 10 ----创建vlan10的SVI接口
S5750(config-if)#ip address 192.168.10.1 255.255.255.0
----配置VLAN10的网关
S5750(config-if)#exit
----退出端口配置模式
S5750(config)#interface vlan 20
SVI接口
S5750(config-if)#ip address 192.168.20.1 255.255.255.0
----配置VLAN10的网关
S5750(config-if)#exit
----退出端口配置模式
S5750(config)#interface vlan 30
SVI接口
S5750(config-if)#ip address 192.168.30.1 255.255.255.0
----配置VLAN10的网关
S5750(config-if)#exit
----退出端口配置模式
步骤四:创建ACL,使vlan20能访问vlan10,而vlan30不能访问vlan10
S5750(config)#ip access-list extended deny30
ACL
创建vlan10的
创建vlan10的
----定义扩展
----
----
S5750(config-ext-nacl)#deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
----拒绝vlan30的用户访问vlan10资源
S5750(config-ext-nacl)#permit ip any any
----允许vlan30的用户访问其他任何资源
S5750(config-ext-nacl)#exit ----退出扩展ACL配置模式
步骤五:将ACL应用到vlan30的SVI口in方向
S5750(config)#interface vlan 30
SVI接口
S5750(config-if)#ip access-group deny30 in
----将扩展ACL应用到vlan30的SVI接口下
17、交换机Super VLAN 配置
步骤一:创建VLAN
S5750A>en
Password:
S5750A#configure
S5750A(config)#vlan 2
S5750A(config-vlan)#exit
S5750A(config)#vlan 3
S5750A(config-vlan)#exit
S5750A(config)#vlan 4
S5750A(config-vlan)#exit
S5750A(config)#
----创建三个VLAN
创建vlan30的 ----
步骤二:配置supervlan
S5750A(config)#vlan 3
S5750A(config-vlan)#supervlan ----配置VLAN3为supervlan
S5750A(config-vlan)#subvlan 2,4 ----配置VLA2,VLAN4为subvlan
步骤三:把相应接口指定到相应的subVLAN中
S5750A(config)#interface gigabitEthernet 0/4
S5750A(config-if-GigabitEthernet 0/4)#switchport access vlan 2
----把交换机的第4端口划到subVLAN 2中
S5750A(config-if-GigabitEthernet 0/4)#exit
S5750A(config)#interface gigabitEthernet 0/5
S5750A(config-if-GigabitEthernet 0/5)#switchport access vlan 4
----把交换机的第5端口划到subVLAN 4中
S5750A(config-if-GigabitEthernet 0/5)#
S5750A(config-if-GigabitEthernet 0/5)#exit
步骤四:设置SubVLAN 2的IP 地址空间
S5750A(config)#vlan 2
S5750A(config-vlan)#subvlan-address-range 192.168.1.1 192.168.1.100
设置SubVLAN 2 下的IP 地址空间
S5750A(config-vlan)#exit
S5750A(config)#vlan 4
S5750A(config-vlan)#subvlan-address-rang
192.168.1.253
----192.168.1.101
----设置SubVLAN 4 下的IP 地址空间
S5750A(config-vlan)#exit
步骤五:创建SuperVLAN 对应虚拟三层接口
S5750A(config)#interface vlan 3
S5750A(config-if-VLAN 3)#ip address 192.168.1.254 255.255.255.0
----为SUBVLAN的用户配置网关
步骤六:保存配置
S5750A(config)#end
S5750A#wr
18、交换机上配置VRRP
步骤一:
Master:
ruijie(config)#track 1 interface
f0/0 ---端口追踪
ruijie(config)#interface Vlan 10
ruijie(config-if)#ip addr 10.10.10.1 255.255.255.0
ruijie(config-if)#vrrp 1 priority 120 ---设置优先级,默认100,优先级高的成为主
ruijie(config-if)#vrrp 1 ip
10.10.10.10 ---配置虚拟网关
ruijie(config-if)#vrrp 1 timer advertise 3 ---调定时器,可选
ruijie(config-if)#vrrp
抢占
1
preempt ---配
ruijie(config-if)#vrrp 1 track 1 100 ---追踪端口优先级降低值
步骤二:
Backup:
ruijie(config)#interface Vlan 10
ruijie(config-if)#ip addr 10.10.10.2 255.255.255.0
ruijie(config-if)#vrrp 1 priority 100 ---设置优先级,默认100
ruijie(config-if)#vrrp 1 ip 10.10.10.10
ruijie(config-if)#vrrp 1 timer advertise 3 ---调定时器,可选
ruijie(config-if)#vrrp
抢占
验证:验证结果
show vrrp [brief]
show vrrp interface 接口
show track
小结:
简单来说 VRRP是一种容错协议 它为具有组播或广播能力的局域网 如以太网 设计 它保证当局域网内主机的下一跳路由器出现故障时 可以及时的由另一台路由器来代替 从而保持通讯的连续性和可靠性 为了使VRRP工作 要在路由器上配置虚拟路由器号和虚拟IP地址 同时产生一个虚拟MAC地址 这样在这个网络中就加入了一个虚拟路由器 而网络上的主机与虚拟路由器通信 无需了解这个网络上物理路由器的任何信息 一个虚拟路由器由一个主路由器和若干个备份路由器组成 主路由器实现真正的转发功能 当主路由器出现故障时 一个备份路由器将成为新的主路由器 接替它的工作。
19、如何禁止用户访问单个网页服务器?
步骤一:定义ACL
S5750#conf
t
----进入全局配置模式
1
preempt ---配
S5750(config)#ip access-list extended 100 ----创建扩展ACL
S5750(config-ext-nacl)#deny tcp any host 192.168.1.254 eq www
----禁止访问web服务器
S5750(config-ext-nacl)#deny tcp any any eq 135 ----预防冲击波病毒
S5750(config-ext-nacl)#deny tcp any any eq 445 ----预防震荡波病毒
S5750(config-ext-nacl)#permit ip any any ----允许访问其他任何资源
S5750(config-ext-nacl)#exit ----退出ACL配置模式
步骤二:将ACL应用到接口上
S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口
S5750(config-if)#ip access-group 100 in ----将扩展ACL应用到端口下
20、如何配置交换机的端口镜像?
switch#conf t
switch#(config)#
switch (config)# monitor session 1 source interface gigabitEthernet 3/1 both
---监控源口为g3/1
switch (config)# monitor session 1 destination interface gigabitEthernet 3/8
switch ---监控目的口为g3/8,并开启交换功能
注意:S2026交换机镜像目的端口无法当做普通接口使用
21、如何配置交换机的生成树?
拓扑概况:双核心交换机A、B,A为VLAN1-4的根桥,B为VLAN5-8的根桥,利用多生成树协议实现负载均衡。
步骤一:VLAN1-4根桥的设置
switch_A#conf t
switch_A(config)#spanning-tree --开启生成树协议,默认模式为MSTP
switch_A(config)#spanning-tree mst configuration
switch_A(config-mst)# instance 1 vlan 1,2,3,4 --创建实例1,并关联VLAN1-4
switch_A(config-mst)# instance 2 vlan 5,6,7,8 --创建实例2,并关联VLAN5-8
switch_A(config)# spanning-tree mst 1 priority 4096
--创设置A为实例1的根桥,即VLAN1-4的根桥
步骤二:VLAN5-8根桥的设置
switch_B#conf t
switch_B(config)#spanning-tree --开启生成树协议,默认模式为MSTP
switch_B(config)#spanning-tree mst configuration
switch_B(config-mst)# instance 1 vlan 1,2,3,4 --创建实例1,并关联VLAN1-4
switch_B(config-mst)# instance 2 vlan 5,6,7,8 --创建实例2,并关联VLAN5-8
switch_B(config)# spanning-tree mst 2 priority 4096
--创设置B为实例2的根桥,即VLAN5-8的根桥
步骤三:其他分根桥交换机的设置
switch_C#conf t
switch_C(config)#spanning-tree --开启生成树协议,默认模式为MSTP
switch_C(config)#spanning-tree mst configuration
switch_C(config-mst)# instance 1 vlan 1,2,3,4 --创建实例1,并关联VLAN1-4
switch_C(config-mst)# instance 2 vlan 5,6,7,8 --创建实例2,并关联VLAN5-8
switch_C(config)# int g0/1 --在接入终端PC的端口上配置
switch_C(config-if)# spanning-tree bpduguard enable
switch_C(config-if)# spanning-tree portfast
注释:
1. 配置完成后,可用命令show spanning-tree interface g0/24 ,show spanning-tree summary 等查看生成树的相关状态。
22、如何将交换机的端口捆绑起来使用?
S5750#conf
S5750(config)#interface range gigabitEthernet 0/1 – 4 ----同时进入1到4号接口
S5750(config-if)#port-group
1 ----设置为聚合口1
S5750(config)#interface aggregateport 1 ----进入聚合端口1
注意:配置为AP口的接口将丢失之前所有的属性,以后关于接口的操作只能在AP1口上面进行
23、如何实现几组用户之间的隔离,但同时又都能访问公用服务?
步骤一:创建隔离VLAN
S2724G#conf
S2724G(config)#vlan
3 ----创建VLAN3
S2724G(config-vlan)#private-vlan community ----将VLAN3设为隔离VLAN
S2724G(config)#vlan
4 ----创建VLAN4
S2724G(config-vlan)#private-vlan community ----将VLAN4设为隔离VLAN
S2724G(config-vlan)#exit
----退回到特权模式
步骤二:创建主VLAN
S2724G(config)#vlan
2 ----进入VLAN2
S2724G(config-vlan)#private-vlan primary ----VLAN2为主VLAN
步骤三:将隔离VLAN加到到主VLAN中
VLANS2724G(config-vlan)#private-vlan association add 3-4
----将VLAN3和VLAN4加入到公用VLAN中,VLAN3和VLAN4的用户可以访问公用接口
步骤四:将实际的物理接口与VLAN相对应
S2724G(config)#interface GigabitEthernet 0/1
----进入接口1,该接口连接服务器或者上联设备
S2724G(config-if)#switchport mode private-vlan promiscuous
----接口模式为混杂模式
S2724G(config-if)#switchport private-vlan mapping 2 add 3-4
----将VLAN3和VLAN4映射到VLAN2上
S2724G(config)#int
0/10
口10
S2724G(config-if)#switchport mode private-vlan host
S2724G(config-if)#switchport private-vlan host-association 2 3
----该接口划分入VLAN3
S2724G(config)#int
0/20
20
S2724G(config-if)#switchport mode private-vlan host
S2724G(config-if)#switchport private-vlan host-association 2 4
----该接口划分入VLAN4
gi
----进入接gi
----进入接口
步骤五:完成VLAN的映射
S2724G(config)#int vlan 2 ----进入VLAN2的SVI接口
S2724G(config-if)#ip address 192.168.2.1 255.255.255.0
----配置VLAN2的ip地址
S2724G(config-if)#private-vlan mapping add 3-4
----将VLAN3和VLAN4加入到VLAN2中
注释:
1. 隔离 VLAN的端口不能进行二层通讯,一个私有 VLAN域中只有一个隔离 VLAN;同一群体 VLAN的端口可以互相进行二层通信,但不能与其它群体 VLAN 中的端口进行二层通信,一个私有 VLAN 域中可以有多个群体 VLAN;混杂端口(Promiscuous Port)可以与任意端口通讯。
2. S21不支持私有VLAN,可以通过保护端口实现类似功能
3. 目前支持Private Vlan的交换机系列有S23、S26、S27、S29、S3750、S5750、S5760
24、如何只允许端口下的用户只能访问特定的服务器网段?
步骤一:定义ACL
S5750#conf
t
----进入全局配置模式
S5750(config)#ip access-list standard
1 ----定义标准ACL
S5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255
----允许访问服务器资源
S5750(config-std-nacl)#deny any ----拒绝访问其他任何资源
S5750(config-std-nacl)#exit ----退出标准ACL配置模式
步骤二:将ACL应用到接口上
S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口
S5750(config-if)#ip access-group 1 in ----将标准ACL应用到端口in方向
注释:
1. 实际配置时需注意,在交换机每个ACL末尾都隐含着一条“拒绝所有数据流”的语句。
2. 以上所有配置,均以锐捷网络S5750-24GT/12SFP 软件版本10.2(2)为例。
其他说明,其详见各产品的配置手册《访问控制列表配置》一节。
25、动态时钟设置(NTP)
1、在设备上设置DNS地址。
ruijie(config)# ip name-server 202.98.96.68 ——设置当地DNS地址
2、为 NTP 客户端指定一个 NTP 服务器:
ruijie(config)#ntp server 192.168.210.222
——指定服务器IP地址,本例假设时间服务器地址为192.168.210.222
ruijie(config)#ntp server ntp server
——或者直接设置网络上的时间服务器地址
3、进行 NTP 实时同步(可选):
ruijie(config)#ntp synchronize
4、将一个 ID对应的密钥配置为全局信任密钥:
ruijie(config)#ntp authentication-key 6 md5 ruijie
ruijie(config)#ntp trusted-key 6
ruijie(config)#ntp server 192.168.210.222 key 6
SNTP设置:
ruijie(config)#sntp enable ——打开SNTP
ruijie(config)#sntp server 192.168.210.222
——设置服务器地址,sntp不支持用域名做服务。
注释:NTP用户设置设备时间与时间服务器的时间同步, NTP 服务缺省是关闭的。目前我们的设备暂不支持做时钟服务器。
26、3750认证前、后可访问资源的配置方法
我单位使用大量的3750做认证,看说明书上有认证前可访问资源和认证后可访问资源的功能(主要用于未认证用户下载客户端),试几次没成功,请给出详细配置方法,谢谢。
Switch#conf ----进入全局配置模式
Switch(config)#ip access-list extended td ----创建扩展ACL
Switch(config-ext-nacl)#permit udp any eq bootpc any eq bootps
---允许dhcp报文
Switch(config-ext-nacl)#permit tcp any host 1.1.1.1 eq www
----允许访问1.1.1.1的web资源
Switch(config-ext-nacl)#exit ----退出ACL配置模式
步骤二:配置全局GSN安全通道
Switch(config-if)#security global access-group td - ---启用安全通道
步骤三:配置接口GSN安全通道
Switch(config)#interface fa0/1 ----进入接口配置模式
Switch(config-if)#security global access-group td ----启用安全通道
步骤四:配置安全通道例外口
Switch(config)#interface fa0/1 ----进入接口配置模式
Switch(config-if)#security
enable ----配置例外口
注释:
1. 安全通道策略支持permit和deny。
2. 安全通道对列外口不生效。
3. 接口安全通道优先级高于全局安全通道。
4. ACL根据实际情况灵活使用。
27、核心7606、汇聚3760、接入2300系列如何应对ARP攻击?
有4种解决思路:
一、交换机地址绑定(address-bind)功能
S23#conf
S23(config)# address-bind 192.168.0.101 0016.d390.6cc5
----绑定ip地址为192.168.0.101 MAC地址为0016.d390.6cc5的主机让其使用网络
S23(config)# address-bind uplink GigabitEthernet 0/1
----将g0/1口设置为上联口,也就是交换机通过g0/1的接口连接到路由器或是出口设备,如果接口选择错误会导致整网不通
S23(config)# address-bind install ----使能uplink
address-bind功能
S23(config)#end
----退回特权模式
S23#
wr
----保存配置
二、交换机端口安全功能
S23#conf
S23(config)# int g0/23
----进入第23接口,准备在该接口绑定用户的MAC和ip地址
S23(config-if)# switchport port-security mac-address 0016.d390.6cc5 ip-address
192.168.0.101
----在23端口下绑定ip地址是192.168.0.101 MAC地址是0016.d390.6cc5的主机,确保该主机可以正常使用网络,如果该主机修改ip或者MAC地址则无法使用网络,可以添加多条来实现对接入主机的控制
S23(config-if)# switchport port-security ----开启端口安全功能
S23(config)#end
----退会特权模式
S23#
wr
----保存配置
三、交换机arp-check功能
S23#conf
S23(config)# int g0/23
----进入第23接口,准备在该接口绑定用户的MAC和ip地址
S23(config-if)#
ip+mac绑定信息
S23(config-if)# switchport port-security ----开启端口安全功能
S23(config-if)# switchport port-security arp-check ----开启端arp检查功能
switchport port-security mac-address 0016.d390.6cc5 ip-address
192.168.0.101 ----
S23(config)#end
----退会特权模式
S23#
wr
----保存配置
注释:开启arp-check功能后安全地址数减少一半,具体情况请查阅交换机配置指南
四、交换机ARP动态检测功能(DAI)
步骤一: 配置DHCP snooping
S23#con t
S23(config)#ip dhcp snooping ----开启dhcp snooping
S23(config)#int f 0/1
S23(config-if)#ip dhcp snooping trust ----设置上连口为信任端口(注意:缺省所有端口都是不信任端口),只有此接口连接的服务器发出的DHCP响应报文才能够被转发.
S23(config-if)#exit
S23(config)#int f 0/2
S23(config-if)# ip dhcp snooping address-bind
----配置DHCP snooping的地址绑定功能
S23(config-if)#exit
S23(config)#int f 0/3
S23(config-if)# ip dhcp snooping address-bind
----配置DHCP snooping的地址绑定功能
步骤二: 配置DAI
S23(config)# ip arp inspection ----启用全局的DAI
S23(config)# ip arp inspection vlan 2 ----启用vlan2的DAI报文检查功能
S23(config)# ip arp inspection vlan 3 ----启用vlan3的DAI报文检查功能
28、三层交换机上IP地址与MAC地址的绑定
如题,比如说我单位使用的RG-S8610做核心交换机,可以直接在上面做绑定吗 ?我只想绑定单个IP和MAC地址,而不是某个端口下所有的IP地址与MAC绑定。
请看下面的实例配置:
①下面是配置IP 地址和MAC 地址绑定模式的例子:
Ruijie#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Ruijie(config)#address-bind 192.168.5.1 00d0.f800.0001
Ruijie(config)#address-bind install ---使IP 和MAC 地址绑定生效;
②下面是查看设备的IP 地址和MAC 地址绑定配置的例子:
Ruijie#show address-bind
Total Bind Addresses in System : 1
IP Address Binding MAC Addr
--------------- ----------------
192.168.5.1 00d0.f800.0001
29、交换机GSN安全通道配置?
如何在配置交换机在dot1x认证前获取地址或访问某些资源?
步骤一:基本ACL配置
Switch#conf ----进入全局配置模式
Switch(config)#ip access-list extended td ----创建扩展ACL
Switch(config-ext-nacl)#permit udp any eq bootpc any eq bootps ---允许dhcp报文
Switch(config-ext-nacl)#permit tcp any host 1.1.1.1 eq www ----允许访问1.1.1.1的web资源
Switch(config-ext-nacl)#exit ----退出ACL配置模式
步骤二:配置全局GSN安全通道
Switch(config-if)#security global access-group td ---启用安全通道
步骤三:配置接口GSN安全通道
Switch(config)#interface fa0/1 ----进入接口配置模式
Switch(config-if)#security global access-group td ----启用安全通道
步骤四:配置安全通道例外口
Switch(config)#interface fa0/1 ----进入接口配置模式
Switch(config-if)#security uplink enable ----配置例外口
注释:
1. 安全通道策略支持permit和deny。
2. 安全通道对列外口不生效。
3. 接口安全通道优先级高于全局安全通道。
4. ACL根据实际情况灵活使用。
二、路由器部分
1、锐捷RSR20系列路由器,怎样配置QOS用policy-map做流量监管
在路由器上对lan20做policy-map下的流量监管,速率不超过2Mbps,对全网做CAR流量监管,使www流量不超过500Kbps
步骤一:定义希望限速的主机范围
rsr20>en
rsr20#conf
rsr20(config)#access-list 101 permit ip host 192.168.1.101 any ----定义要限速的IP
rsr20(config)#access-list 102 permit ip host 192.168.1.102 any ----定义要限速的IP
步骤二:创建规则类,应用之前定义的主机范围
rsr20(config)#class-map xiansu101 ----创建class-map,名字为xiansu101
rsr20(config-cmap)#match access-group 101 ----匹配IP地址
rsr20(config-cmap)#exit
rsr20(config)#class-map xiansu102 ----创建class-map,名字为xiansu102
rsr20(config-cmap)#match access-group 102 ----匹配IP地址
rsr20(config-cmap)#exit
步骤三:创建策略类:应用之前定义的规则,配置限速大小
rsr20(config)#policy-map xiansu ----创建policy-map,名字为xiansu
rsr20(config-pmap)#class xiansu101 ----符合class
xiansu101
rsr20(config-pmap-c)#police 8000 512 exceed-action drop ----限速值为8000Kbit(1MB)
rsr20(config-pmap)#class xiansu102 ----符合class
xiansu102
rsr20(config-pmap-c)#police 4000 512 exceed-action drop
rsr20(config-pmap-c)#end
步骤四:进入接口,应用之前定义的策略
rsr20#conf
rsr20(config)#int
0/10
rsr20(config-if)#service-policy input xiansu
略应用在这个接口上
注释:
1. 通过QOS 限制上行流量
2. 推荐在S2924G,S3250和rsr20上应用该功能
限速值为4000Kbit
fa
----进入接口
----将该限速策 ----
2、NAT出口路由限制访问咨询
问题:vlan10 网段为行政部门所在网络,为提高安全性能,禁止互联网用户访问,只允许内部网络访问。但行政部门的PC可以访问互联网。
思路如下:有3种方式
1.在路由器上不做vlan10网段的回执路由
2.在三层交换机上做acl,然后应用到接口,允许访问内网,不允许访问内网
ip access-list ex test
permit ip 17/28 192.168.0.0 255.255.0.0
deny ip 17/28 any
3.在路由上设置acl,限制17/28的访问
access-list 3198 deny 17/28 any
3、策略路由配置?
希望部分IP走A线路,另一部分IP走B线路?
步骤一:配置匹配源的ACL
Ruijie#configure terminal
Ruijie (config)#access-list 1 permit 192.168.1.0 0.0.0.255 ----配置地址列表
Ruijie (config)#access-list 2 permit 192.168.2.0 0.0.0.255 ----配置地址列表
步骤二:配置route-map
Ruijie(config)#route-map test permit 10 ----创建路由映射规则
Ruijie(config-route-map)#match ip address 1 ----符合地址列表1
Ruijie(config-route-map)#set ip next-hop 1.1.1.1 ----执行动作是送往1.1.1.1
Ruijie(config-route-map)#exit
Ruijie(config)#route-map test permit 20
Ruijie(config-route-map)#match ip address 2 ----符合地址列表2
Ruijie(config-route-map)#set ip next-hop 2.2.2.1 ----执行动作是送往2.2.2.1
Ruijie(config-route-map)#exit
步骤三:在接口上应用route-map
Ruijie config)#interface GigabitEthernet 0/0 ----进入设备内网口
Ruijie(config-if)#ip address 192.168.1.1 255.255.255.0 ---配置各个网段的ip地址
Ruijie(config-if)#ip address 192.168.2.1 255.255.255.0 secondary
Ruijie(config-if)#ip policy route-map test ----应用之前定义的路由映射
Ruijie(config-if)#exit
注释:缺省情况下route map的最后一句都是deny all,这样不符合route map规则的数据包都会按照正常的路由表进行转发。
4、如何在设备上配置浮动路由?
Ruijie#configure terminal
Ruijie (config)#ip route 0.0.0.0 0.0.0.0 fastEthernet 0/0 10.0.0.1
Ruijie (config)#ip route 0.0.0.0 0.0.0.0 fastEthernet 1/0 20.0.0.1 90
----当fa0/0出现问题后,所有路由由接口fa1/0,送往网关20.0.0.1
5、如何在两台路由器之间构建L2TP?
步骤一:SERVER端路由器配置VPN相关参数
R1762#conf
R1762(config)#vpdn enable
R1762(config)#vpdn-group l2tp ----创建一个VPDN组,命名为l2tp
R1762(config-vpdn)#accept-dialin
----允许拨号
R1762(config-vpdn-acc-in)#protocol
l2tp ----协议为l2tp
R1762(config-vpdn-acc-in)#virtual-template 1 ----引用虚模板1
步骤二:SERVER端路由器配置用户和地址池
R1762(config)#username test password 0 test
----创建一个账户,用户和密码都是test
R1762(config)#ip local pool vpn 192.168.1.100 192.168.1.110
----创建vpn拨入的地址池,命名为vpn,范围是192.168.1.100-110
步骤三:SERVER端路由器配置虚拟模板
R1762(config)#interface virtual-template 1
创建虚模板1
R1762(config-if)#ppp authentication chap
为CHAP
R1762(config-if)#ip unnumbered fastEthernet 1/0
口
R1762(config-if)#peer default ip address pool vpn
址范围
R1762(config-if)#ip
inside
步骤四:Client端路由器VPN配置
R1762(config)#l2tp-class l2tp
命名为l2tp
R1762(config)#pseudowire-class vpn-l2tp
R1762(config-pw-class)#encapsulation l2tpv2
协议
R1762(config-pw-class)#protocol l2tpv2 l2tp
R1762(config-pw-class)#ip local interface 1/0
接口
步骤五:Client路由创建虚拟拨号口
---- ----加密方式 ----关联内网接 ----引用地nat
----参与NAT
----创建拨号模板,创建虚线路,命名为vpn-l2tp
----封装l2tpv2 ----关联路由器外网
----
R1762(config)#interface virtual-ppp 1 ----创建虚拟ppp接口
R1762(config)#pseudowire 192.168.33.39 11 encapsulation l2tpv2 pw-class vpn-l2tp ----L2TP服务器路由器的地址
R1762(config)#ppp chap hostname test ----用户名
R1762(config)# ppp chap password 0 test ----密码
R1762(config)# ip mtu 1460
R1762(config)# ip address negotiate ----IP地址商议获取
R1762(config)# ip nat outside ----参与NAT
6、如何在路由器上配置PPTP?
步骤一:配置VPN相关参数
R1762#conf
R1762(config)#vpdn enable
R1762(config)#vpdn-group pptp ----创建一个VPDN组,命名为pptp
R1762(config-vpdn)#accept-dialin
----允许拨号
R1762(config-vpdn-acc-in)#protocol
pptp ----协议为PPTP
R1762(config-vpdn-acc-in)#virtual-template 1 ----引用虚模板1
步骤二:配置用户和地址池
R1762(config)#username test password 0 test
----创建一个账户,用户和密码都是test
R1762(config)#ip local pool vpn 192.168.1.100 192.168.1.110
----创建vpn拨入的地址池,命名为vpn,范围是192.168.1.100-110
步骤三:配置虚拟模板
R1762(config)#interface virtual-template 1 ----创建虚模板1
R1762(config-if)#ppp authentication pap ----加密方式为PAP
R1762(config-if)#ip unnumbered fastEthernet 1/0 ----关联内网接口
R1762(config-if)#peer default ip address pool vpn ----引用地址范围
R1762(config-if)#ip nat
inside ----参与NAT
7、如何设置Qos流量控制?
1、在路由器的端口上进行QOS配置,限制入接口流量不超过300kbps 2、接口流量的单位是什么?
以下是限速的一个例子:
进入到内网口输入以下命令:
router(config-if)#rate-limit input access-group 101 100000 3000 3000 conform-action transmit
exceed-action drop
//对接口的所有流量进行入接口的报文限速。
//100000为100K
// access-group 101 为ACL
进入到内网口输入以下命令:
router(config-if)#rate-limit input access-group 101 100000 3000 3000 conform-action transmit
exceed-action drop
router(config-if)#rate-limit input access-group 102 300000 3000 3000 conform-action transmit
exceed-action drop
//对接口的所有流量进行入接口的报文限速。
//300000为300K
// access-group 102 为ACL
单位是bps。
8、常见防病毒ACL列表
常用ACL配置有:
access-list 3198 deny tcp any any eq 135 //冲击波、震荡波
access-list 3198 deny tcp any any eq 139 //魔波
access-list 3198 deny tcp any any eq 445 //冲击波、震荡波、魔波
access-list 3198 deny udp any any eq 137 //137、138、139为netbios端口
access-list 3198 deny udp any any eq 138
access-list 3198 deny udp any any eq 139
access-list 3198 permit ip any any
access-list 3199 deny icmp any any echo //禁止从外网ping路由器
access-list 3199 deny tcp any any eq 135
access-list 3199 deny tcp any any eq 139
access-list 3199 deny tcp any any eq 445
access-list 3199 deny tcp any eq 80 //禁止外网访问路由器管理页面,如果有多条接入线路,请依次配置,如果配置了WEB端口映射,请去掉。
在同一接口下可以同时应用不同的ACL在in和out方向,另,带交换口的NPE10/20的内网口可增加基于MAC的ACL。即一个端口最多可以配置3条ACL。
(锐捷知道:/service/)
发布评论