锐捷交换机路由器配置教程

锐捷交换机路由器配置教程
锐捷交换机路由器配置教程
目录
第一章：设备配置和文件管理 .......... .. (4)
1.1 通过TELNET 式来配置设备 ... . (4)
1.2 更改IOS 命令的特权等级 (4)
1.3 设备时钟设置 (5)
第二章：交换机基础配置 (5)
2.1 交换机vlan 和trunk 的置 ..... .5
2.2 turnk 接口修剪配置 (6)
2.3 PVLAN 配置 (7)
2.4 端口汇聚配置 .... ..8
2.5 生成树配置 ..... . (9)
2.6 端口镜像配置 ..... .. (9)
第三章：交换机防止ARP 欺骗置 .. (10)
3.1 交换机地址绑定（address-bind ）功能 (10) 3.2 交换机端口安全功能 (10)
3.3 交换机arp-check 功能 .... ..11
3.4 交换机ARP动态检测功能(DAI)........ . (11) 第四章：访问控制列表配置（ACL）.... ....... ..12
4.1 标准ACL配置 (12)
4.2 扩展ACL配置 (13)
4.3 VLAN之间的ACL配置............... ...... .13
4.4 单向ACL的配置 (15)
第五章：应用协议配置 (16)
5.1 DHCP服务配置......................... . (16)
5.2 交换机dot1x认证配置 (18)
5.3 QOS限速配置 (19)
5.4 IPsec配置 (20)
5.5 GRE配置................ ............... ..22
5.6 PPTP 配置 (22)
5.7 路由器L2TP配置 (23)
5.8 路由器NAT 配置 (24)
第六章：路由协议配置 (25)
6.1 默认路由配置 (25)
6.2 静态路由配置 (25)
6.3 浮动路由配置 (25)
6.4 策略路由配置 (25)
6.5 OSPF 配置............ . (26)
6.6 OSPF 中router ID 配置 (27)
第一章：设备配置和文件管理
1.1 通过TELNET 式来配置设备
提问：如通过telnet 式来配置设备？回答：
步骤一：配置VLAN1 的IP 地址
S5750>en ---- 进入特权模式S5750#conf ---- 进入全局配置模式S5750(config)#int vlan 1 ---- 进入vlan 1 接口
S5750(config-if)#ip address 192.168.0.230 255.255.255.0
- 为vlan 1 接口上设置管理ip S5750(config-if)#exit ----退回到全局配置模式步骤二：配置telnet密码
S5750(config)#line vty 0 4 ----进入telnet密码配置模式
S5750(config-line)#login ---启用需输入密码才能telnet成功
S5750(config-line)#password rscstar ---将telnet密码设置为rscstar
S5750(config-line)#exit ---回到全局配置模式
S5750(config)#enable secret 0 rscstar -配置进入特权模式的密码为rscstar
步骤三：开启SSH服务（可选操作）
S5750(config)#enable service ssh-server ---开启ssh服务
S5750(config)#ip ssh version 2 -启用ssh version 2
S5750(config)#exit -- 回到特权模式
S5750#wri -保存配置
1.2 更改IOS 命令的特权等级
提问：如只允dixy这个用户使用与ARP相关的命令？回答：
S5750(config)#username dixy password dixy - 设置dixy 用户名和密码
S5750(config)#username dixy privilege 10 --dixy 帐户的权限为10
S5750(config)#privilege exec level 10 show arp
- 权限10 可以使用show arp 命令
S5750(config)#privilege config all level 10 arp
-- 权限10 可以使用所有arp 打头的命令
S5750(config)#line vty 0 4 ---- 配置telnet 登陆用户
S5750(config-line)#no password
S5750(config-line)#login local
注释：15 级密码为enable 特权密码，无法更改，0 级密码只能支持disable ，enable ，exit和help ，1 级密码无法进行配置。

1.3 设备时钟设置
提问：如设置设备时钟？回答：
S5750#clock set 12:45:55 11 25 2008
- ---设置时间为2008年11月25日12点45分55秒
S5750#clock update-calendar ---设置日历更新
S5750(config)#clock timezone CN 8 22 -时间名字为中国，东8区22分
第二章：交换机基础配置
2.1 交换机vlan和trunk的配置
提问：如在交换机上划分vlan ，配置trunk 接口？回答：
步骤一：给交换机配置IP地址
S2724G#conf
S2724G(config)#int vlan 1
S2724G(config-if)#ip addess 192.168.0.100 255.255.255.0 - - 给VLAN 1 配置IP 地址
S2724G(config-if)#no shutdown - 激活该VLAN 接口
S2724G(config-if)#exit
S2724G(config)#ip default-gateway 192.168.0.1 - 指定交换机的网关地址
步骤二：创建VLAN
S2724G#conf
S2724G(config)#vlan 10 --- 创建VLAN 10
S2724G(config-vlan)#exit
S2724G(config)# vlan 20 --- 创建VLAN 20
S2724G(config-vlan)#exit
步骤三：把相应接口指定到相应的VLAN 中
S2724G(config)#int gi 0/10
S2724G(config-if)#switch access vlan 10
-把交换机的第10端口划到VLAN 10中
S2724G(config-if)#exit
S2724G(config)#int gi 0/20
S2724G(config-if)#switch access vlan 20
-把交换机的第20端口划到VLAN 20中
S2724G(config-if)#exit
S2724G(config)#int gi 0/24
S2724G(config-if)#switch mode trunk--设置24口为Trunk模式（与三层交换机的连接口
S2724G(config-if)#
步骤四：保存配置
S2724G(config-if)#end
S2724G#write
2.2 turnk接口修剪配置
提问：如让trunk 接口只允部分vlan 通过？回答：
Switch(config)#int fa 0/24
Switch (config-if)#switch mode trunk
Switch (config-if)#switchport trunk allowed vlan remove 10,20,30-40
-- 不允VLAN10,20,30-40 通过Trunk 口
2.3 PVLAN 配置
提问：如实现几组用户之间的隔离，但同时又都能访问公用服务？回答：
步骤一：创建隔离VLAN
S2724G#conf
S2724G(config)#vlan 3 ----创建VLAN3
S2724G(config-vlan)#private-vlan community --将VLAN3设为隔离VLAN
S2724G(config)#vlan 4 -创建VLAN4
S2724G(config-vlan)#private-vlan community --将VLAN4设为隔离VLAN
S2724G(config-vlan)#exit --退回到特权模式
步骤二：创建主VLAN
S2724G(config)#vlan 2 -进入VLAN2
S2724G(config-vlan)#private-vlan primary --VLAN2为主VLAN
步骤三：将隔离VLAN 加到到主VLAN 中
VLANS2724G(config-vlan)#private-vlan association add 3-4 -- 将VLAN3 和VLAN4 加入到公用VLAN 中，VLAN3 和VLAN4 的用户可以访问公用接
口
步骤四：将实际的物理接口与VLAN相对应
S2724G(config)#interface GigabitEthernet 0/1
-- --进入接口1，该接口连接服务器或者上联设备
S2724G(config-if)#switchport mode private-vlan
promiscuous
-- -- 接口模式为混杂模式
S2724G(config-if)#switchport private-vlan mapping 2 add 3-4
- -- 将VLAN3 和VLAN4 映射到VLAN2 上
S2724G(config)#int gi 0/10 -- 进入接口10
S2724G(config-if)#switchport mode private-vlan host
S2724G(config-if)#switchport private-vlan host-association 2 3
-- -- 该接口划分入VLAN3
S2724G(config)#int gi 0/20 -- 进入接口20
S2724G(config-if)#switchport mode private-vlan host
S2724G(config-if)#switchport private-vlan host-association 2 4
- --- 该接口划分入VLAN4
步骤五：完成VLAN 的映射
S2724G(config)#int vlan 2 -进入VLAN2的SVI接口
S2724G(config-if)#ip address 192.168.2.1 255.255.255.0
- ---配置VLAN2的ip地址
S2724G(config-if)#private-vlan mapping add 3-4
-- - -将VLAN3和VLAN4加入到VLAN2中
注释：
1. S20、S21不支持私有VLAN，可以通过保护端口实现类似功能
2. S3250、S3750和S5750同时支持保护端口和私有VLAN
3. S3760不支持私有VLAN和保护端口
2.4 端口汇聚配置
提问：如将交换机的端口捆绑起来使用？回答：
S5750#conf
S5750(config)#interface range gigabitEthernet 0/1 4
- 同时进入1 到4 号接口
S5750(config-if)#port-group 1 --设置为聚合口1
S5750(config)#interface aggregateport 1 --进入聚合端口1
注意：配置为AP口的接口将丢失之前所有的属性，以后关于接口的操作只能在AP1口上面进行
2.5 生成树配置
提问：如配置交换机的生成树？回答：
步骤一：根桥的设置
switch_A#conf t
switch_A(config)#spanning-tree --- 默认模式为MSTP
switch_A(config)#spanning-tree mst configuration
switch_A(config)#spanning-tree mst 10 priority 4096 - 设置为根桥
步骤二：非根桥的设置
switch_B#conf t
switch_B(config)#spanning-tree -默认模式为MSTP
switch_B(config)#spanning-tree mst configuration
switch_B(config)#int f0/1 --PC的接入端口
switch_B(config)#spanning-tree bpduguard enable
switch_B(config)#spanning-tree portfast
2.6 端口镜像配置
提问：如配置交换机的端口镜像？回答：
switch#conf t
switch#(config)#
switch (config)# monitor session 1 source interface gigabitEthernet 3/1 both
--- 监控源口为g3/1
switch (config)# monitor session 1 destination interface gigabitEthernet 3/8 switch
--- 监控目的口为g3/8 ，并开启交换功能
注意：S2026 交换机镜像目的端口无法当做普通接口使用
第三章：交换机防止ARP 欺骗配置
3.1 交换机地址绑定（address-bind ）功能
提问：如对用户ip+mac 进行两元素绑定？回答：
S5750#conf
S5750(config)# address-bind 192.168.0.101 0016.d390.6cc5 ---- 绑定ip 地址为192.168.0.101 MAC 地址为0016.d390.6cc5 的主机让其使用网络
S5750(config)# address-bind uplink GigabitEthernet 0/1
---- 将g0/1 口设置为上联口，也就是交换机通过g0/1 的接口连接到路由器或是出口设备，
如果接口选择错误会导致整网不通
S5750(config)# address-bind install ----使能address-bind功能
S5750(config)#end ----退回特权模式
S5750# wr ---保存配置
注释：
1. 如果修改ip或是MAC地址该主机则无法使用网络，可以按照此命令添加多条，添加的条数跟交换机的硬件资源有关
2. S21交换机的address-bind功能是防止Ip冲突，只有在交换机上绑定的才进行ip 和MAC的匹配，如果下边用户设置的ip地址在交换机中没绑定，交换机不对该数据包做控制，直接转发。

3.2 交换机端口安全功能
提问：如对用户ip+mac+接口进行三元素绑定？回答：
S5750#conf
S5750(config)# int g0/23
---- 进入第23 接口，准备在该接口绑定用户的MAC 和ip 地址S5750(config-if)# switchport port-security mac-address 0016.d390.6cc5
ip-address 192.168.0.101
---- 在23 端口下绑定ip 地址是192.168.0.101 MAC 地址是
0016.d390.6cc5 的主机，确保该主机可以正常使用网络，如果该主机修改ip 或者MAC 地址则无法使用网络，可以添加多条来实现对接入主机的控制
S5750(config-if)# switchport port-security ---- 开启端口安全功能
S5750(config)#end ---- 退会特权模式
S5750# wr -- 保存配置
注释：可以通过在接口下设置最大的安全地址个数从而来控制控制该接口下可使用的主机数，安全地址的个数跟交换机的硬件资源有关
3.3 交换机arp-check 功能
提问：如防止错误的arp信息在网络里传播？回答：
S5750#conf
S5750(config)# int g0/23
----进入第23接口，准备在该接口绑定用户的MAC和ip地址
S5750(config-if)# switchport port-security mac-address 0016.d390.6cc5
ip-address 192.168.0.101 ----ip+mac绑定信息
S5750(config-if)# switchport port-security ---开启端口安全功能
S5750(config-if)# switchport port-security arp-check
- 开启端arp 检查功能
S5750(config)#end -- 退会特权模式
S5750# wr - 保存配置
注释：开启arp-check 功能后安全地址数减少一半，具体情况请查阅交换机配置指南
3.4 交换机ARP动态检测功能(DAI)
提问：如在动态环境下防止ARP欺骗？回答：
步骤一：配置DHCP snooping
S3760#con t
S3760(config)#ip dhcp snooping ---- 开启dhcp snooping S3760(config)#int f 0/1
S3760(config-if)#ip dhcp snooping trust - 设置上连口为信任端口（注意：
缺省所有端口都是不信任端口）, 只有此接口连接的服务器发出的DHCP 响应报文才能够被转发 .
S3760(config-if)#exit
S3760(config)#int f 0/2
S3760(config-if)# ip dhcp snooping address-bind
---- 配置DHCP snooping 的地址绑定功能
S3760(config-if)#exit
S3760(config)#int f 0/3
S3760(config-if)# ip dhcp snooping address-bind
----配置DHCP snooping的地址绑定功能
步骤二：配置DAI
S3760(config)# ip arp inspection ---启用全局的DAI
S3760(config)# ip arp inspection vlan 2 -启用vlan2的DAI报文检查功能
S3760(config)# ip arp inspection vlan 3 -启用vlan3的DAI报文检查功能
第四章：访问控制列表配置（ACL ）
4.1 标准ACL 配置
提问：如只允端口下的用户只能访问特定的服务器网段？回答：步骤一：定义ACL
S5750#conf t --进入全局配置模式
S5750(config)#ip access-list standard 1 --定义标准ACL
S5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255
---- 允访问服务器资源
S5750(config-std-nacl)#deny any --拒绝访问其他任资源
S5750(config-std-nacl)#exit -- 退出标准ACL 配置模式
步骤二：将ACL 应用到接口上
S5750(config)#interface GigabitEthernet 0/1 -- 进入所需应用的端口
S5750(config-if)#ip access-group 1 in - 将标准ACL 应用到端口in 向
注释：
1. S1900 系列、S20 系列交换机不支持基于硬件的ACL 。

2. 实际配置时需注意，在交换机每个ACL 末尾都隐含着一条“拒绝所有数据流”的语句。

3. 以上所有配置，均以锐捷网络S5750-24GT/12SFP 软件版本10.2 （2 ）为例。

其他说明，其详见各产品的配置手册《访问控制列表配置》一节。

4.2 扩展ACL 配置
提问：如禁止用户访问单个网页服务器？回答：
步骤一：定义ACL
S5750#conf t ---进入全局配置模式
S5750(config)#ip access-list extended 100 --创建扩展ACL
S5750(config-ext-nacl)#deny tcp any host 192.168.1.254 eq ----禁止访问web服务器
S5750(config-ext-nacl)#deny tcp any any eq -预防冲击波病毒S5750(config-ext-nacl)#deny tcp any any eq 445 ----预防震荡波病毒
S5750(config-ext-nacl)#permit ip any any -允访问其他任资源
S5750(config-ext-nacl)#exit -退出ACL配置模式
步骤二：将ACL应用到接口上
S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口
S5750(config-if)#ip access-group 100 in -- 将扩展ACL 应用到端口下
4.3 VLAN 之间的ACL 配置
提问：如禁止VLAN间互相访问？
回答：
步骤一：创建vlan10 、vlan20 、vlan30
S5750#conf -- 进入全局配置模式
S5750(config)#vlan 10 -- 创建VLAN10
S5750(config-vlan)#exit --- 退出VLAN 配置模式
S5750(config)#vlan 20 -- 创建VLAN20
S5750(config-vlan)#exit -- 退出VLAN 配置模式
S5750(config)#vlan 30 -- 创建VLAN30
S5750(config-vlan)#exit -- 退出VLAN 配置模式
步骤二：将端口加入各自vlan
S5750(config)# interface range gigabitEthernet 0/1-5
---- 进入gigabitEthernet 0/1-5 号端口
S5750(config-if-range)#switchport access vlan 10
----将端口加划分进vlan10
S5750(config-if-range)#exit ---退出端口配置模式
S5750(config)# interface range gigabitEthernet 0/6-10
----进入gigabitEthernet 0/6-10号端口
S5750(config-if-range)#switchport access vlan 20
----将端口加划分进vlan20
S5750(config-if-range)#exit ---退出端口配置模式
S5750(config)# interface range gigabitEthernet 0/11-15
---- 进入gigabitEthernet 0/11-15 号端口
S5750(config-if-range)#switchport access vlan 30 --将端口加划分进vlan30 S5750(config-if-range)#exit --退出端口配置模式步骤三：配置vlan10、vlan20、vlan30的网关IP地址
S5750(config)#interface vlan 10 --创建vlan10的SVI接口
S5750(config-if)#ip address 192.168.10.1 255.255.255.0
-- 配置VLAN10 的网关
S5750(config-if)#exit --退出端口配置模式
S5750(config)#interface vlan 20 ---创建vlan10的SVI接口
S5750(config-if)#ip address 192.168.20.1 255.255.255.0
---- 配置VLAN10 的网关
S5750(config-if)#exit --- 退出端口配置模式
S5750(config)#interface vlan 30 -- 创建vlan10 的SVI 接口
S5750(config-if)#ip address 192.168.30.1 255.255.255.0
---- 配置VLAN10 的网关
S5750(config-if)#exit ---- 退出端口配置模式
步骤四：创建ACL ，使vlan20 能访问vlan10 ，而vlan30 不能访问vlan10
S5750(config)#ip access-list extended deny30 ---- 定义扩展ACL
S5750(config-ext-nacl)#deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
---- 拒绝vlan30 的用户访问vlan10 资源
S5750(config-ext-nacl)#permit ip any any
----允vlan30的用户访问其他任资源
S5750(config-ext-nacl)#exit ---退出扩展ACL配置模式
步骤五：将ACL应用到vlan30的SVI口in向
S5750(config)#interface vlan 30 --创建vlan30的SVI接口
S5750(config-if)#ip access-group deny30 in
----将扩展ACL应用到vlan30的SVI接口下
4.4 单向ACL的配置
提问：如实现主机A可以访问主机B的FTP资源，但主机B无法访问主机A的FTP 资源？？回答：
步骤一：定义ACL
S5750#conf t ---进入全局配置模式
S5750(config)#ip access-list extended 100 --定义扩展ACL
S5750(config-ext-nacl)#deny tcp any host 192.168.1.254 match-all syn
---- 禁止主动向A 主机发起TCP 连接
S5750(config-ext-nacl)#permit ip any any --- 允访问其他任资源
S5750(config-ext-nacl)#exit -- 退出扩展ACL 配置模式
步骤二：将ACL 应用到接口上
S5750(config)#interface GigabitEthernet 0/1 -- 进入连接B 主机的端口
S5750(config-if)#ip access-group 100 in - 将扩展ACL 应用到端口下
S5750(config-if)#end --- 退回特权模式
S5750#wr ---- 保存
注释：单向ACL 只能对应于TCP 协议，使用PING 无法对该功能进行检测。

第五章：应用协议配置
5.1 DHCP 服务配置
提问：如在设备上开启DHCP服务，让不同VLAN下的电脑获得相应的IP地址？回答：
步骤一：配置VLAN网关IP地址，及将相关端口划入相应的VLAN中
S3760#con t
S3760(config)#vlan 2 --创建VLAN2
S3760(config-vlan)#exit --退回到全局配置模式下
S3760(config)#vlan 3 -创建VLAN3
S3760(config-vlan)#exit --退回到全局配置模式下
S3760(config)#int vlan 2 --进入配置VLAN2
S3760(config-if)#ip add 192.168.2.1 255.255.255.0 --设置VLAN2的IP地址
S3760(config-if)#exit ---退回到全局配置模式下
S3760(config)#int vlan 3 ----进入配置VLAN3
S3760(config-if)#ip add 192.168.3.1 255.255.255.0 - 设置
VLAN3 的IP 地址
S3760(config-if)#exit --- 退回到全局配置模式下
S3760(config)#int f 0/2 --进入接口f0/2
S3760(config-if)#switchport access vlan 2 -- 设置f0/2 口属于VLAN2
S3760(config-if)#exit
S3760(config)#int f 0/3 --- 进入接口f0/3
S3760(config-if)#switchport access vlan 3 -- 设置f0/3 口属于VLAN3
S3760(config-if)#exit
步骤二：配置DHCP server
S3760 (config)#service dhcp -- 开启dhcp server 功能
S3760 (config)#ip dhcp ping packets 1
--- 在dhcp server 分配IP 时会先去检测将要分配的IP 地址是否已有人使用，如果没人使用则分配，若已有人使用则再分配下一个IP S3760 (config)#ip dhcp excluded-address 192.168.2.1 192.168.2.10
--- 设置排斥地址为192.168.2.1 至192.168.2.10 的ip 地址不分配给客户端（可选配置）
S3760 (config)#ip dhcp excluded-address 192.168.3.1 192.168.3.10
--设置排斥地址为192.168.3.1至192.168.3.10的ip地址不分配给客户端（可选配置）S3760 (config)#ip dhcp pool test2 ---新建一个dhcp地址池名为test2
S3760 (dhcp-config)# lease infinite---租期时间设置为永久
S3760 (dhcp-config)# network 192.168.2.0 255.255.255.0
----给客户端分配的地址段
S3760 (dhcp-config)# dns-server 202.101.115.55 ---给客户端分配的DNS
S3760(dhcp-config)# default-router 192.168.2.1 --客户端的网
关
S3760(dhcp-config)#exit
S3760(config)#ip dhcp pool test3 -- 新建一个dhcp 地址池名为test3
S3760(dhcp-config)# lease infinite ---租期时间设置为永久
S3760(dhcp-config)# network 192.168.3.0 255.255.255.0
S3760(dhcp-config)# dns-server 202.101.115.55
S3760(dhcp-config)# default-router 192.168.3.1
S3760(dhcp-config)#end
S3760#wr
5.2 交换机dot1x 认证配置
提问：如在交换机上开启dot1x 认证？
回答：
步骤一：基本AAA 配置
Switch#conf
Switch(config)# aaa new-model ---- 启用认证
Switch(config)# aaa accounting network test start-stop group radius
---- 配置身份认证法
Switch(config)# aaa group server radius test
Switch(config-gs-radius)# server X.X.X.X -- 指定记帐服务器地址
Switch(config-gs-radius)# exit
Switch(config)# aaa authentication dot1x default group radius local
----配置dot1x认证法
Switch(config)# radius-server host X.X.X.X -指定认证服务器地址
Switch(config)# radius-server key 0 password --指定radius共享口令
Switch(config)# dot1x accounting test --开启计帐功能
Switch(config)# dot1x authentication default -开启认证功能Switch(config)# snmp-server community ruijie rw -指定SNMP共同体字段
Switch(config)# interface range fastethernet 0/1-24 同时进1-24号接口
Switch(config-if-range)# dot1x port-control auto -指定受控端口
Switch(config-if-range)# exit -退出接口模式
步骤二：配置客户端探测功能
Switch(config)# aaa accounting update --启用计帐更新
Switch(config)# aaa accounting update periodic 5
---- 指定计帐更新间隔为5 分钟
Switch(config)# dot1x client-probe enable -- 启用客户端在线探测功能
Switch(config)# dot1x probe-timer interval 20 - 指定探测期为20 秒Switch(config)# dot1x probe-timer alive 60 指定探测存活时间为60
秒
步骤三：配置记账更新功能
Switch(config)# dot1x timeout quiet-period 5 -- 指定认证失败等待时间Switch(config)# dot1x timeout tx-period 3 ---- 指定交换机重传Identity Requests 报文时间
Switch(config)# dot1x max-req 3
---- 指定交换机重传Identity Requests 报文的最大次数
Switch(config)# dot1x reauth-max 3
---- 指定认证失败后交换机发起的重认证的最大次数
Switch(config)# dot1x timeout server-timeout 5
---- 指定认证服务器的响应超时时间
Switch(config)# dot1x timeout supp-timeout 3
---- 指定认证客户端的响应超时时间
Switch(config)# dot1x private-supplicant-only -过滤非锐捷客户端
Switch(config)# exit --退出配置模式
5.3 QOS限速配置
提问：如通过QOS实行限速？
回答：
步骤一：定义希望限速的主机围
S3760>en
S3760#conf
S3760(config)#access-list 101 permit ip host 192.168.1.101 any
---- 定义要限速的IP
S3760(config)#access-list 102 permit ip host 192.168.1.102 any
----定义要限速的IP
步骤二：创建规则类，应用之前定义的主机围
S3760(config)#class-map xiansu101 --创建class-map，名字为xiansu101 S3760(config-cmap)#match access-group 101 --匹配IP地址
S3760(config-cmap)#exit
S3760(config)#class-map xiansu102 创建class-map ，名字为xiansu102 S3760(config-cmap)#match access-group 102 --匹配IP 地址
S3760(config-cmap)#exit
步骤三：创建策略类：应用之前定义的规则，配置限速大小
S3760(config)#policy-map xiansu -- 创建policy-map ，名字为xiansu
S3760(config-pmap)#class xiansu101 --- 符合class xiansu101
S3760(config-pmap-c)#police 8000 512 exceed-action drop ---- 限速值为8000Kbit-- 符合class xiansu102
S3760(config-pmap-c)#police 4000 512 exceed-action drop ---- 限速值为4000Kbit
S3760(config-pmap-c)#end
步骤四：进入接口，应用之前定义的策略
S3760#conf
S3760(config)#int fa 0/10 ----进入接口
S3760(config-if)#service-policy input xiansu
----将该限速策略应用在这个接口上
注释：
1. 通过QOS只能限制上行流量
2. 推荐在S2924G，S3250和S3760上应用该功能
5.4 IPsec 配置
提问：如在两台路由器之间启用IPsec ？回答：
R1路由器设置
步骤一：配置访问控制列表，定义需要IPsec保护的数据
R1(config)#access-list 101 permit ip host 1.1.1.1 host 1.1.1.2 步骤二：定义安全联盟和密钥交换策略
R1(config)#crypto isakmp policy 1
R1(isakmp-policy)#authentication pre-share -- 认证式为预共享密钥
R1(isakmp-policy)#hash md5 --- 采用MD5 的HASH 算法
步骤三：配置预共享密钥为dixy ，对端路由器地址为1.1.1.2
R1(config)#crypto isakmp key 0 dixy address 1.1.1.2
步骤四：定义IPsec 的变换集，名字为dixy
R1(config)#crypto ipsec transform-set dixy ah-md5-hmac esp-des
步骤五：配置加密映射，名字为dixy
R1(config)#crypto map dixy 1 ipsec-isakmp
R1(config-crypto-map)#set transform-set dixy -- 应用之前定义的变换集
R1(config-crypto-map)#match address 101 -- 定义需要加密的数据流
R1(config-crypto-map)#set peer 1.1.1.2 --- 设置对端路由器地址
步骤六：在外网口上使用该加密映射
R1(config-if)#crypto map dixy
R1(config-if)#ip add 1.1.1.1 255.255.255.0
R2路由器设置
R2路由器的设置和R1几乎是相似，只用红色字体标注出不一样的地。

R2(config)#access-list 101 permit ip host 1.1.1.2 host 1.1.1.1
R2(config)#crypto isakmp policy 1
R2(isakmp-policy)#authentication pre-share
R2(isakmp-policy)#hash md5
R2(config)#crypto isakmp key 0 dixy address 1.1.1.1
R2(config)#crypto ipsec transform-set dixy ah-md5-hmac esp-des
R2(config)#crypto map dixy 1 ipsec-isakmp
R2(config-crypto-map)
R2(config-if)#crypto map dixy
R2(config-if)#ip add 1.1.1.2 255.255.255.0
5.5 GRE 配置
提问：如在两台路由器之间启用GRE ？
回答：
NBR(config)#interface Tunnel0
NBR(config-if)#ip address 1.1.1.1 255.255.255.0
NBR (config-if)#tunnel mode gre ip
NBR (config-if)#tunnel source 10.1.1.1
NBR (config-if)#tunnel destination 10.1.1.2
5.6 PPTP 配置
提问：如在路由器上配置PPTP？回答：
步骤一：配置VPN相关参数
R1762#conf
R1762(config)#vpdn enable
R1762(config)#vpdn-group pptp ---创建一个VPDN组，命名为pptp R1762(config-vpdn)#accept-dialin ----允拨号
R1762(config-vpdn-acc-in)#protocol pptp - 协议为PPTP
R1762(config-vpdn-acc-in)#virtual-template 1 --- 引用虚模板1
步骤二：配置用户和地址池
R1762(config)#username test password 0 test
----创建一个账户，用户和密码都是test
R1762(config)#ip local pool vpn 192.168.1.100 192.168.1.110 ----创建vpn拨入的地址池，命名为vpn，围是192.168.1.100-110
步骤三：配置虚拟模板
R1762(config)#interface virtual-template 1 --创建虚模板1
R1762(config-if)#ppp authentication pap --加密式为PAP
R1762(config-if)#ip unnumbered fastEthernet 1/0 - 关联网接口
R1762(config-if)#peer default ip address pool vpn - 引用地址围
R1762(config-if)#ip nat inside -- 参与NAT
5.7 路由器L2TP 配置
提问：如在两台路由器之间构建L2TP ？回答：
步骤一：SERVER 端路由器配置VPN 相关参数
R1762#conf
R1762(config)#vpdn enable
R1762(config)#vpdn-group l2tp --创建一个VPDN组，命名为l2tp
R1762(config-vpdn)#accept-dialin ---允拨号
R1762(config-vpdn-acc-in)#protocol l2tp -协议为l2tp
R1762(config-vpdn-acc-in)#virtual-template 1 -引用虚模板1 步骤二：SERVER端路由器配置用户和地址池
R1762(config)#username test password 0 test
----创建一个账户，用户和密码都是test
R1762(config)#ip local pool vpn 192.168.1.100 192.168.1.110 ----创建vpn拨入的地址池，命名为vpn，围是192.168.1.100-110
步骤三：SERVER端路由器配置虚拟模板
R1762(config)#interface virtual-template 1 --创建虚模板1
R1762(config-if)#ppp authentication chap -加密式为CHAP R1762(config-if)#ip unnumbered fastEthernet 1/0 --关联网接口
R1762(config-if)#peer default ip address pool vpn - 引用地址围
R1762(config-if)#ip nat inside --- 参与NAT
步骤四：Client端路由器VPN配置
R1762(config)#l2tp-class l2tp -创建拨号模板，命名为l2tp
R1762(config)#pseudowire-class vpn-l2tp -- 创建虚线路，命名为vpn-l2tp
R1762(config-pw-class)#encapsulation l2tpv2 - 封装l2tpv2 协议
R1762(config-pw-class)#protocol l2tpv2 l2tp
R1762(config-pw-class)#ip local interface 1/0 - 关联路由器外网接口
步骤五：Client 路由创建虚拟拨号口
R1762(config)#interface virtual-ppp 1 -- 创建虚拟ppp 接口
R1762(config)#pseudowire 192.168.33.39 11 encapsulation l2tpv2 pw-class vpn-l2tp ---L2TP 服务器路由器的地址
R1762(config)#ppp chap hostname test ---- 用户名
R1762(config)# ppp chap password 0 test ---- 密码
R1762(config)# ip mtu 1460
R1762(config)# ip address negotiate ----IP地址商议获取
R1762(config)# ip nat outside ----参与NAT
5.8 路由器NAT配置
提问：如设置NAT？
回答：
NBR(config)#access-list 10 permit 192.168.10.0 0.0.0.255
---- 设置允NAT 的地址围
NBR(config)#interface FastEthernet 1/0
NBR(config-if)#ip nat outside ---定义外网接口
NBR(config)#interface FastEthernet 0/0
NBR(config-if)#ip nat inside ----定义网接口
NBR(config)#ip nat pool defult prefix-length 24
--创建一个地址池，命名为defult
NBR(config-ipnat-pool)#address 208.10.34.2 208.10.34.7 match interface FastEthernet 1/0 ---公网地址围为208.10.34.2到208.10.34.7
NBR(config)#ip nat inside source list 10 pool test overload ---- 应用地址池
第六章：路由协议配置———————————————————————————
6.1 默认路由配置
提问：如在设备上配置默认路由？
回答：
Ruijie#configure terminal
Ruijie (config)#ip route 0.0.0.0 0.0.0.0 fastEthernet 0/0
10.0.0.1
---- 路由下一跳接口为fa0/0 ，下一跳网关为10.0.0.1
6.2 静态路由配置
提问：如在设备上配置静态路由？
回答：
Ruijie#configure terminal
Ruijie (config)#ip route 192.168.1.0 255.255.255.0 fastEthernet 0/0 10.0.0.1
----去往192.168.1.0网段的路由，下一跳接口为fa0/0，下一跳网关为10.0.0.1 6.3 浮动路由配置
提问：如在设备上配置浮动路由？
回答：
Ruijie#configure terminal
Ruijie (config)#ip route 0.0.0.0 0.0.0.0 fastEthernet 0/0 10.0.0.1
Ruijie (config)#ip route 0.0.0.0 0.0.0.0 fastEthernet 1/0 20.0.0.1 90
---- 当fa0/0 出现问题后，所有路由由接口fa1/0 ，送往网关20.0.0.1
6.4 策略路由配置
提问：希望部分IP走A线路，另一部分IP走B线路？
回答：步骤一：配置匹配源的ACL
Ruijie#configure terminal
Ruijie (config)#access-list 1 permit 192.168.1.0 0.0.0.255- 配置地址列表
Ruijie (config)#access-list 2 permit 192.168.2.0 0.0.0.255 - 配置地址列表
步骤二: 配置route-map
Ruijie(config)#route-map test permit 10 - 创建路由映射规则Ruijie(config-route-map)#match ip address 1- 符合地址列表
1
Ruijie(config-route-map)#set ip next-hop 1.1.1.1 - 执行动作是送往1.1.1.1 Ruijie(config-route-map)#exit
Ruijie(config)#route-map test permit 20
Ruijie(config-route-map)#match ip address 2 - 符合地址列表2
Ruijie(config-route-map)#set ip next-hop 2.2.2.1 -执行动作是送往2.2.2.1 Ruijie(config-route-map)#exit
步骤三：在接口上应用route-map
Ruijie config)#interface GigabitEthernet 0/0 -进入设备网口
Ruijie(config-if)#ip address 192.168.1.1 255.255.255.0-配置各个网段的ip地Ruijie(config-if)#ip address 192.168.2.1 255.255.255.0 secondary
Ruijie(config-if)#ip policy route-map test --应用之前定义的路由映射。