锐捷5750基本配置

锐捷5750基本配置锐捷5750基本配置并不复杂，可以通过以下方式来进行设备配置。

1.1通过TELNET方式来配置设备提问:如何通过telnet方式来配置设备,回答: 步骤一:配置VLAN1的IP地址S5750>en----进入特权模式S5750#conf----进入全局配置模式S5750(config)#intvlan1----进入vlan1接口S5750(config-if)#ip address192.168.0.230255.255.255.0----为vlan1接口上设置管理ip S5750(config-if)#exit----退回到全局配置模式步骤二:配置telnet密码S5750(config)#linevty04----进入telnet密码配置模式S5750(config-line)#login---启用需输入密码才能telnet成功S5750(config-line)#passwordrscstar----将telnet密码设置为rscstar S5750(config-line)#exit----回到全局配置模式enablesecretlevel150rscstar ----配置进入特权模式的密码为rscstar1.2更改IOS命令的特权等级提问:如何只允许dixy这个用户使用与ARP相关的命令,回答:S5750(config)#usernamedixypassworddixy----设置dixy用户名和密码S5750(config)#usernamedixyprivilege10----dixy帐户的权限为10 S5750(config)#privilegeexeclevel10showarp----权限10可以使用showarp命令S5750(config)#privilegeconfigalllevel10arp----权限10可以使用所有arp打头的命令S5750(config)#linevty04----配置telnet登陆用户S5750(config-line)#nopassword S5750(config-line)#loginlocal 1.3设备时钟设置提问:如何设置设备时钟,回答: S5750#clockset12:45:5511252008----设置时间为2008年11月25日12点45分55秒S5750#clock update-calendar----设置日历更新S5750(config)#clocktimezoneCN822----时间名字为中国，东8区22分2.1交换机vlan和trunk的配置提问:如何在交换机上划分vlan，配置trunk接口,回答:步骤一:给交换机配置IP地址S2724G#conf S2724G(config)#intvlan1S2724G(config-if)#ipaddess192.168.0.100255.255.255.0----给VLAN1 配置IP 地址S2724G(config-if)#noshutdown----激活该VLAN接口S2724G(config-if)#exit S2724G(config)#ipdefault-gateway192.168.0.1---指定交换机的网关地址步骤二:创建VLANS2724G#conf S2724G(config)#vlan10----创建VLAN10S2724G(config-vlan)#exit S2724G(config)#vlan20----创建VLAN20S2724G(config-vlan)#exit步骤三:把相应接口指定到相应的VLAN中S2724G(config)#intgi0/10 S2724G(config-if)#switchaccessvlan10----把交换机的第10端口划到VLAN 10中S2724G(config-if)#exit S2724G(config)#intgi0/20 S2724G(config-if)#switchaccessvlan20----把交换机的第20端口划到VLAN 20中S2724G(config-if)#exit S2724G(config)#intgi0/24 S2724G(config-if)#switchmodetrunk----设置24口为Trunk模式(与三层交换机的连接口S2724G(config-if)#步骤四:保存配置S2724G(config-if)#end S2724G#write 2.2turnk接口修剪配置提问:如何让trunk接口只允许部分vlan通过,回答: Switch(config)#intfa0/24Switch(config-if)#switchmodetrunkSwitch(config-if)#switchporttrunkallowedvlanremove10,20,30-40 ----不允许VLAN10,20,30-40通过Trunk口2.3PVLAN配置提问:如何实现几组用户之间的隔离，但同时又都能访问公用服务,回答:步骤一:创建隔离VLAN S2724G#conf S2724G(config)#vlan3----创建VLAN3 S2724G(config-vlan)#private-vlancommunity----将VLAN3设为隔离VLAN S2724G(config)#vlan4----创建VLAN4 S2724G(config-vlan)#private-vlancommunity----将VLAN4设为隔离VLAN S2724G(config-vlan)#exit----退回到特权模式步骤二:创建主VLAN S2724G(config)#vlan2----进入VLAN2 S2724G(config-vlan)#private-vlanprimary----VLAN2为主VLAN步骤三: 将隔离VLAN加到到主VLAN中VLANS2724G(config-vlan)#private-vlanassociationadd3-4----将VLAN3 和VLAN4加入到公用VLAN中，VLAN3和VLAN4的用户可以访问公用接口步骤四:将实际的物理接口与VLAN相对应S2724G(config)#interfaceGigabitEthernet0/1 ----进入接口1，该接口连接服务器或者上联设备S2724G(config-if)#switchportmodeprivate-vlanpromiscuous----接口模式为混杂模式S2724G(config-if)#switchportprivate-vlanmapping2add3-4----将VLAN3和VLAN4映射到VLAN2上S2724G(config)#intgi0/10----进入接口10 S2724G(config-if)#switchportmodeprivate-vlanhost S2724G(config-if)#switchportprivate-vlanhost-association23----该接口划分入VLAN3 S2724G(config)#intgi0/20----进入接口20 S2724G(config-if)#switchportmodeprivate-vlanhost S2724G(config-if)#switchportprivate-vlanhost-association24 ----该接口划分入VLAN4步骤五:完成VLAN的映射S2724G(config)#intvlan2----进入VLAN2的SVI接口S2724G(config-if)#ipaddress192.168.2.1255.255.255.0----配置VLAN2的ip地址S2724G(config-if)#private-vlanmappingadd3-4----将VLAN3和VLAN4 加入到VLAN2中注释: 1.S20、S21不支持私有VLAN，可以通过保护端口实现类似功能2.S3250、S3750和S5750同时支持保护端口和私有VLAN3.S3760不支持私有VLAN和保护端口2.4端口汇聚配置提问:如何将交换机的端口捆绑起来使用, 回答: S5750#confS5750(config)#interfacerangegigabitEthernet0/1–4----同时进入1 到4号接口S5750(config-if)#port-group1----设置为聚合口1 S5750(config)#interfaceaggregateport1----进入聚合端口1注意:配置为AP 口的接口将丢失之前所有的属性，以后关于接口的操作只能在AP1口上面进行2.5生成树配置提问:如何配置交换机的生成树,回答: 步骤一:根桥的设置switch_A#conft switch_A(config)#spanning-tree---默认模式为MSTP switch_A(config)#spanning-treemstconfiguration switch_A(config)#spanning-treemst10priority4096---设置为根桥步骤二:非根桥的设置switch_B#conft switch_B(config)#spanning-tree---默认模式为MSTP switch_B(config)#spanning-treemstconfiguration switch_B(config)#intf0/1---PC的接入端口switch_B(config)#spanning-treebpduguardenable switch_B(config)#spanning-treeportfast 2.6端口镜像设置提问:如何配置交换机的端口镜像, 回答: switch#conft switch#(config)# switch(config)#monitorsession1sourceinterfacegigabitEthernet 3/1both---监控源口为g3/1 switch(config)#monitorsession1destinationinterface gigabitEthernet3/8 switch---监控目的口为g3/8，并开启交换功能注意:S2026交换机镜像目的端口无法当做普通接口使用。

安装手册RG-S5750-24SFP/12GT系列交换机版权声明锐捷网络©2000-2012锐捷网络版权所有，并保留对本手册及本声明的一切权利。

未得到锐捷网络的书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。

、、、、、、、、、、、都是锐捷网络的注册商标，不得仿冒。

免责声明本手册内容依据现有信息制作，由于产品版本升级或其他原因，其内容有可能变更。

锐捷网络保留在没有任何通知或者提示的情况下对手册内容进行修改的权利。

本手册仅作为使用指导，锐捷网络在编写本手册时已尽力保证其内容准确可靠，但并不确保手册内容完全没有错误或遗漏，本手册中的所有信息也不构成任何明示或暗示的担保。

技术支持⏹锐捷网络官方网站：/。

您可以在官网中获得最新的产品技术资料、产品故障原因及问题分析、产品的应用解决方案、软件升级资料等等。

⏹锐捷网络在线客服：。

您可以在工作日早8:30至晚6点，通过“在线客服”获得信息咨询、远程调试排障、软件维护等技术支持。

无需下载客户端，可以即时截图、发附件，方便快捷。

⏹锐捷网络远程技术支持中心：/service.aspx。

锐捷网络远程技术支持中心可以为所有的客户提供所需要的技术帮助和解决方案。

对于客户遇到的产品的安装、软件的配置以及其它的网络性能的问题，客户服务中心都将提供迅速的技术支持。

⏹7×24小时技术服务热线：4008-111-000⏹锐捷网络技术论坛：⏹锐捷网络技术支持与反馈信箱：******************.cn相关资料手册名称说明产品配置手册本手册对产品支持支持的各网络协议及其实现原理进行了描述，并配有详细的配置实例。

产品命令手册本手册对产品支持的配置命令做了详细的描述。

包括命令模式、参数说明和使用指南等，并配有具体的实例。

前言感谢您使用锐捷网络交换机，本手册（版本号：V1.01）为您提供了详细的硬件安装指南。

目录一、通过使用密码telnet登陆设备 (2)二、通过使用用户名和密码telnet登陆设备 (2)三、通过web界面来管理配置交换机 (2)四、修改设备时间 (3)五、交换机光电复用口的切换 (3)六、交换机关闭广播风暴 (4)七、交换机端口聚合经典案例 (4)八、交换机端口限速 (5)九、交换机MAC地址绑定 (5)十、交换机端口安全典型案例 (6)十一、交换机address-bind (8)十二、交换机防止非法架设DHCP服务器 (8)十三、交换机防止DHCP地址池被耗尽 (8)十四、交换机防止用户私自设置IP地址 (9)十五、交换机防网关arp欺骗 (9)锐捷交换机常用配置指南一、通过使用密码telnet登陆设备配置步骤：1、配置管理地址Ruijie>enable 进入特权模式Ruijie#configure terminal 进入全局配置模式Ruijie(config)#interface vlan 1 进入vlan 1接口Ruijie(config-if)#ip address 192.168.33.180 255.255.255.0 为vlan 1接口上设置管理ip Ruijie(config-if)#exit 退回到全局配置模式2、配置telnet密码Ruijie(config)#line vty 0 4 进入telnet密码配置模式，0 4表示允许共5个用户同时telnet登入到交换机Ruijie(config-line)#login 启用需输入密码才能telnet成功Ruijie(config-line)#password ruijie 将telnet密码设置为ruijieRuijie(config-line)#exit 回到全局配置模式Ruijie(config)# enable secret ruijie 配置进入特权模式的密码为ruijieRuijie(config)#end 退出到特权模式Ruijie#write 确认配置正确，保存配置二、通过使用用户名和密码telnet登陆设备1、配置管理地址Ruijie>enable 进入特权模式Ruijie#configure terminal 进入全局配置模式Ruijie(config)#interface vlan 1 进入vlan 1接口Ruijie(config-if)#ip address 192.168.33.180 255.255.255.0 为vlan 1接口上设置管理ip Ruijie(config-if)#exit 退回到全局配置模式2、配置telnet密码Ruijie(config)#username ruijie password ruijie 配置用户名和密码Ruijie(config)#line vty 0 4 进入telnet密码配置模式Ruijie(config-line)#login local 配置本地认证Ruijie(config-line)#exit 回到全局配置模式Ruijie(config)# enable secret ruijie 配置进入特权模式的密码为ruijie Ruijie(config)#end 退出到特权模式Ruijie#write 确认配置正确，保存配置三、通过web界面来管理配置交换机1、确认设备是否有web管理软件Ruijie>enableRuijie#dir 查找是否有“web_management_pack.upd”，如果没有请重新升级设备。

交换机扩展模块使用手册版权声明福建星网锐捷网络有限公司©2000-2010锐捷网络有限公司版权所有，并保留对本手册及本声明的一切权利。

未得到锐捷网络有限公司的书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。

、、、、、、、、、都是福建星网锐捷网络有限公司的注册商标，不得仿冒。

免责声明本手册依据现有信息制作，其内容如有更改，恕不另行通知，请关注锐捷网络有限公司网站提供的最新信息。

锐捷网络有限公司在编写本手册时已尽力保证其内容准确可靠，但对于本手册中的遗漏、不准确或错误，以及由此导致的损失和损害，锐捷网络有限公司不承担责任。

1 M3250－02SFP/GT1.1 产品名称M3250-02SFP/GT：双口千兆光电复用扩展模块。

图1.1 M3250-02SFP/GT扩展模块1.2 扩展模块特性M3250-02SFP/GT提供2个千兆光电复用Combo端口，其中千兆电口为10/100/1000M自适应RJ45口，支持5类UTP和STP；千兆光口只支持1000Base－X 模式，可以选配锐捷网络多种型号的光收发模块，以适应不同的传输距离。

扩展模块主要特性如下：¾可扩展多种SFP光模块，或者1000Base－T端口；¾整板功耗小于2W；¾符合IEEE 802.3、SFP MSA标准；1.3 适用机型M3250-02SFP/GT可适用于锐捷S3250系列交换机及后续有明确标示支持该模块的交换机。

目前适用产品有：¾RG-S3250-24¾RG-S3250-48¾RG-S3250P-241.4 指示灯描述M3250－02SFP/GT面板上有五个指示灯，分别为：Power、GT1、GT2、SFP1和SFP2，定义如下：z Power：绿色指示灯，点亮表示模块插入成功。

发行说明RG-S5750系列交换机RGOS 10.3(5), Release (76833) 正式版本版权声明福建星网锐捷网络有限公司©2010版权所有，保留一切权利。

没有经过本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或者全部，并且不得以任何形式传播。

、、、、、、、都是福建星网锐捷网络有限公司的注册商标，不得仿冒。

前言本文记录了RG-S5750系列交换机RGOS 10.3(5), Release(76833)版本的信息，内容包括：关于本文的任何疑问，请咨询锐捷网络技术支持热线：4008-111-000 。

目录1基本信息 (5)2硬件特性 (5)2.1支持的硬件 (5)2.2硬件限制 (6)3软件特性 (6)3.1解决问题 (6)3.2新增功能 (7)3.3功能变更 (8)3.4软件限制 (8)4配套手册 (9)5升级说明 (9)5.1升级文件清单 (9)5.2升级注意事项 (9)1 基本信息2 硬件特性2.1 支持的硬件S5750 V2.0设备支持VRF功能和32K地址表。

2.2 硬件限制1、S5750P-48GT/4SFP产品不支持堆叠。

2、S5750系列交换机不同产品型号之间不允许混堆。

比如S5750-24GT/12SFP不能同S5750S-24GT/12SFP进行混堆。

3、S5750系列交换机硬件版本号为V1.x的产品同硬件版本号V2.0的产品不支持混堆。

3 软件特性3.1 解决问题在基线版本的基础上解决以下问题：3.2 新增功能在基线版本的基础上新增以下功能：3.3 功能变更在基线版本（RGOS 10.3(4b3), Release(63718)）的基础上对如下功能进行了变更：3.4 软件限制无4 配套手册该版本适用的产品用户手册如下：以上产品用户手册可从锐捷网络技术支持网站下载：/。

5 升级说明5.1 升级文件清单5.2 升级注意事项在对该版本进行升级的过程中，请注意以下事项：1、从V3.X版本升级时，主程序必须先升级到10.1(4)后，再升级到10.2(2)及其以后版本。

锐捷S5750P-24GT/12SFP交换机使用规范
锐捷S5750P-24GT/12SFP交换机，如下图所示：
锐捷S5750P-24GT/12SFP交换机为全千兆中高端汇聚交换机，交换机有24个千兆电口，12个千兆光口（1-4,9-12,21-24为光电复用口，即使用1口光口后，1口电口就不能用了）。

作为汇聚交换机使用时与传输设备相连时使用电口，与热点交换机相连接时使用光口。

每个口都可作为上联、下联口，但是为了以后管理方便，
现规定以下几点：
1.数据制作时只有1口开启光口，如需要多个光口可在工单中说明；
2.连接热点交换机时连接端口顺序为从小到大，意思是先用1口，在用2口
依次类推，除非交换机端口出现异常可顺延；
3.24口多为连接传输设备的上联口；
4.本交换机也可作为POE热点交换机使用，开启POE功能时，建议挂接AP数
不要超过16台。

锐捷RGNOS CookBook v1.0锐第一章：设备配置和文件管理-----------------------------------------------------------------------------31.1 通过TELNET方式来配置设备-------------------------------------------------------------------31.2 更改IOS命令的特权等级-------------------------------------------------------------------------4 第二章：交换机VLAN配置---------------------------------------------------------------------------------42.1 交换机vlan和trunk的配置-------------------------------------------------------------------------42.2 turnk接口修剪配置----------------------------------------------------------------------------------62.3 PVLAN配置------------------------------------------------------------------------------------------6 第三章：交换机防止ARP欺骗配置-----------------------------------------------------------------------83.1 交换机地址绑定（address-bind）功能---------------------------------------------------------83.2 交换机端口安全功能------------------------------------------------------------------------------83.3 交换机arp-check功能------------------------------------------------------------------------------93.4 交换机ARP动态检测功能(DAI)----------------------------------------------------------------10 第四章：访问控制列表配置（ACL）-------------------------------------------------------------------114.1 标准ACL配置--------------------------------------------------------------------------------------114.2 扩展ACL配置--------------------------------------------------------------------------------------114.3 VLAN之间的ACL配置----------------------------------------------------------------------------124.4 单向ACL的配置-----------------------------------------------------------------------------------14 第五章：应用协议配置-------------------------------------------------------------------------------------155.1 DHCP服务配置-------------------------------------------------------------------------------------155.2 交换机dot1x认证配置----------------------------------------------------------------------------175.3 QOS限速配置---------------------------------------------------------------------------------------18 第六章：路由协议配置-------------------------------------------------------------------------------------206.1 默认路由配置--------------------------------------------------------------------------------------206.2 静态路由配置--------------------------------------------------------------------------------------206.3 浮动路由配置--------------------------------------------------------------------------------------206.4 策略路由配置--------------------------------------------------------------------------------------216.4 OSPF配置--------------------------------------------------------------------------------------------226.4 OSPF中router ID配置------------------------------------------------------------------------------22第一章：设备配置和文件管理———————————————1.1 通过TELNET方式来配置设备提问：如何通过telnet方式来配置设备？回答：步骤一：配置VLAN1的IP地址S5750>en ----进入特权模式S5750#conf ----进入全局配置模式S5750(config)#int vlan 1 ----进入vlan 1接口S5750(config-if)#ip address 192.168.0.230 255.255.255.0----为vlan 1接口上设置管理ip S5750(config-if)#exit ----退回到全局配置模式步骤二：配置telnet密码S5750(config)#line vty 0 4 ----进入telnet密码配置模式S5750(config-line)#login ---启用需输入密码才能telnet成功S5750(config-line)#password rscstar ----将telnet密码设置为rscstar S5750(config-line)#exit ----回到全局配置模式S5750(config)#enable secret 0 rscstar----配置进入特权模式的密码为rscstar步骤三：开启SSH服务（可选操作）S5750(config)#enable service ssh-server ---开启ssh服务S5750(config)#ip ssh version 2 ----启用ssh version 2 S5750(config)#exit ----回到特权模式S5750#wri ----保存配置———————————————1.2 更改IOS命令的特权等级提问：如何只允许dixy这个用户使用与ARP相关的命令？回答：S5750(config)#username dixy password dixy ----设置dixy用户名和密码S5750(config)#username dixy privilege 10 ----dixy帐户的权限为10 S5750(config)#privilege exec level 10 show arp----权限10可以使用show arp命令S5750(config)#privilege config all level 10 arp----权限10可以使用所有arp打头的命令S5750(config)#line vty 0 4 ----配置telnet登陆用户S5750(config-line)#no passwordS5750(config-line)#login local注释：15级密码为enable特权密码，无法更改，0级密码只能支持disable，enable，exit和help，1级密码无法进行配置。

非常详细的锐捷三层交换机配置教程，适合新手小白笔者上一篇文章写了关于锐捷网关路由配置教程，但是这只是出口的配置，还不能搭建一个完整的企业网络。

那么这一篇就来讲一下锐捷的三层交换机配置，如果将上一篇文章中的锐捷网关路由配置结合这篇的交换机配置，就可以快速构建一个企业核心网络。

今天的教程是基于命令行，但是并不复杂，适合新手小白进行学习。

场景概述目的：搭建一个小型的企业内部网络，使用RG-NBR3000D-E作为出口网关，使用RG-S5750C-28GT4XS-H作为核心，使用RG-S2910-10GT2SFP-P-E作为接入POE给无线AP供电使用。

IT技术迷-网络拓扑图什么是三层交换机？三层交换机实质就是一种特殊的路由器，是一种在性能上侧重于交换而价格低廉的路由器。

传统交换技术是在OSI网络标准模型第二层——数据链路层进行操作，而三层交换机是为IP设计的，接口类型简单，拥有很强二层包处理能力，它既可以工作在协议第三层替代或部分完成传统路由器的功能，同时又具有几乎第二层交换的速度，且价格相对便宜。

三层交换机最重要的目的是加快大型局域网内部的数据交换，做到一次路由，多次转发。

当一个大型局域网按照功能或地域等因素划成一个个小局域网时，VLAN（Virtual LocalArea Network虚拟局域网）技术在网络中得以大量应用，而各个不同VLAN间的通信都要经过路由器来完成转发。

单纯使用路由器来实现不仅端口数量有限，而且路由速度较慢，从而限制了网络的规模和访问速度。

三层交换机参数RG-S5750C-28GT4XS-H固定端口： 28口10/100/1000M自适应电口，4个复用的SFP接口（SFP为千兆/百兆口）4个1G/10G SFP+光口，2个扩展槽， 2个模块化电源插槽管理口：1个MGMT端口、1个Console 端口、1个Mini USB Console口、1个USB端口，符合USB2.0的标准交换容量：598G/7T包转发率：222M/396M准备工作配置前准备：console配置线、超级终端软件（或者CRT软件）。

RG-NBS5750-E系列交换机NBS5750_RGOS11.4(1)B70文档版本 ：V1.0copyright © 2018锐捷网络版权声明copyright © 2018锐捷网络保留对本文档及本声明的一切权利。

未得到锐捷网络的书面许可，任何单位和个人不得以任何方式或形式对本文档的部分内容或全部进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。

以上均为锐捷网络的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

免责声明您所购买的产品、服务或特性等应受商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，锐捷网络对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

锐捷网络保留在没有任何通知或者提示的情况下对文档内容进行修改的权利。

本手册仅作为使用指导。

锐捷网络在编写本手册时已尽力保证其内容准确可靠，但并不确保手册内容完全没有错误或遗漏，本手册中的所有信息也不构成任何明示或暗示的担保。

前 言读者对象本书适合下列人员阅读●网络工程师●技术推广人员●网络管理员技术支持●锐捷睿易官方网站：/●锐捷睿易在线客服：●锐捷网络官方网站服务与支持版块：/service.aspx●7×24小时技术服务热线：400-100-0078●睿易网络技术论坛：/●常见问题搜索：/service/know.aspx●锐捷网络技术支持与反馈信箱：*********************.cn本书约定1. 命令行格式约定命令行格式意义如下：粗体：命令行关键字（命令中保持不变必须照输的部分）采用加粗字体表示。

斜体：命令行参数（命令中必须由实际值进行替代的部分）采用斜体表示[ ] ：表示用[ ] 括起来的部分，在命令配置时是可选的。

{ x | y | ... }：表示从两个或多个选项中选取一个。

锐捷路由器的配置一、路由器基本配置命令/*由远程终端登录路由器*/Red-Giant>enable——由用户模式进入特权模式Password:******——输入密码Red-Giant#configure——由特权模式进入全局配置模式Configuring from terminal, memory, or network [terminal]? t——输入t继续Red-Giant(config)#hostname Router——修改路由器名称/*配置接口IP地址*/Router(config)#interface fastethernet 0——进入以太网口0接口模式Router(config-if)#ip address 192.168.1.1 255.255.255.0——为其配置IP地址Router(config-if)#no shutdown——启用配置Router(config-if)#exit——退至配置模式Router(config)#interface fastethernet 1——进入以太网口0接口模式Router(config-if)#ip address 192.168.2.1 255.255.255.0——为其配置IP地址Router(config-if)#no shutdown——启用配置Router(config-if)#exit——退至配置模式Router(config)#interface serial 0——进入Serial 0接口模式Router(config-if)#ip address 192.168.3.1 255.255.255.0——为其配置IP地址Router(config-if)#no shutdown——启用配置Router(config-if)#exit——退至配置模式Router(config)#interface serial 1——进入Serial 1接口模式Router(config-if)#ip address 192.168.4.1 255.255.255.0——为其配置IP地址Router(config-if)#no shutdown——启用配置Router(config-if)#end——退至特权模式Router#write——保存配置信息Router(config)#interface loopback 0——新建Loopback 0Router(config-if)#ip add 10.10.1.1 255.255.255.0——为其配置IP地址Router(config-if)#int loopback 1——新建Loopback 1Router(config-if)#ip add 10.10.2.1 255.255.255.0——为其配置IP地址Router(config-if)#end——退至特权模式/*查看路由器相关配置信息*/Router#show ip interface brief——查看配置状态Router#show version——显示路由器版本信息Router#show ip interface fastethernet 0——查看以太网口0接口配置状态Router#show running-config——显示当前运行的配置参数Router#show startup-config——显示NVRAM中中配置参数的副本Router#copy running-config startup-config——将当前运行的配置参数复制到NVRAM Router#erase startup-config——清空NVRAM中的配置参数Router#reload——重新启动路由器/*配置console登陆密码*/Router(config)#line console 0Router(config-line)#loginRouter(config-line)#password star/*配置VTY登陆密码*/Router(config)#line vty 0 4Router(config-line)#loginRouter(config-line)#password star/*配置特权模式登录密码*/Router(config)#enable password star——配置明文密码Router(config)#enable secret star——配置的密码不能与password密码相同二、路由器密码丢失的处理方法01、关闭路由器，重新登录超级终端，按默认方法设置；02、启动路由器，不停地按Ctrl+Pause Break，直至出现Boot：提示符，输入Setup-Reg；Boot:Setup-Reg03、出现如下提示信息，按“Y”回车确认：Do you wish to change the configuration?y/n[n]:04、出现提示如下信息，按“Y”回车确认：Enable“bypass the system configure file”y/n[n]:05、出现提示如下信息，按“N”回车确认：Enable“debug mode?”y/n[n]:06、出现提示如下信息，按“N”回车确认：Enable“user break/abort enabled?”y/n[n]:07、出现提示如下信息，按“N”回车确认：Change console speed?y/n[n]:08、出现提示如下信息，按“N”回车确认：Do you wish to change the configuration?y/n[n]:09、出现提示符“Boot：”，输入Reset；Boot:reset10、出现提示如下信息，按“N”回车确认：Would you like to enter the initial configuration dialog?[Yes]:此时密码及路由器信息被清除，你就可以顺利进入路由器了……可以归纳为“Setup-Reg，两个Y五个N，Reset”。

锐捷交换机基础配置2.1 交换机vlan 和trunk 的配置提问：如何在交换机上划分vlan，配置trunk 接口？回答：步骤一：给交换机配置IP 地址S2724G#confS2724G(config)#int vlan 1S2724G(config-if)#ip addess 192.168.0.100 255.255.255.0锐捷RGNOS CookBook6----给VLAN 1 配置IP 地址S2724G(config-if)#no shutdown ----激活该VLAN 接口S2724G(config-if)#exitS2724G(config)#ip default-gateway 192.168.0.1 ----指定交换机的网关地址步骤二：创建VLANS2724G#confS2724G(config)#vlan 10 ----创建VLAN 10S2724G(config-vlan)#exitS2724G(config)# vlan 20 ----创建VLAN 20S2724G(config-vlan)#exit步骤三：把相应接口指定到相应的VLAN 中S2724G(config)#int gi 0/10S2724G(config-if)#switch access vlan 10----把交换机的第10 端口划到VLAN 10 中S2724G(config-if)#exitS2724G(config)#int gi 0/20S2724G(config-if)#switch access vlan 20----把交换机的第20 端口划到VLAN 20 中S2724G(config-if)#exitS2724G(config)#int gi 0/24S2724G(config-if)#switch mode trunk----设置24 口为Trunk 模式（与三层交换机的连接口S2724G(config-if)#步骤四：保存配置S2724G(config-if)#endS2724G#write ———————————————————————————————————————2.2 turnk 接口修剪配置提问：如何让trunk 接口只允许部分vlan 通过？锐捷RGNOS CookBook7回答：Switch(config)#int fa 0/24Switch (config-if)#switch mode trunkSwitch (config-if)#switchport trunk allowed vlan remove 10,20,30-40----不允许VLAN10,20,30-40 通过Trunk 口———————————————————————————————————————2.3 PVLAN 配置提问：如何实现几组用户之间的隔离，但同时又都能访问公用服务？回答：步骤一：创建隔离VLANS2724G#confS2724G(config)#vlan 3 ----创建VLAN3S2724G(config-vlan)#private-vlan community ----将VLAN3 设为隔离VLANS2724G(config)#vlan 4 ----创建VLAN4S2724G(config-vlan)#private-vlan community ----将VLAN4 设为隔离VLANS2724G(config-vlan)#exit ----退回到特权模式步骤二：创建主VLANS2724G(config)#vlan 2 ----进入VLAN2S2724G(config-vlan)#private-vlan primary ----VLAN2 为主VLAN步骤三：将隔离VLAN 加到到主VLAN 中VLANS2724G(config-vlan)#private-vlan association add 3-4----将VLAN3 和VLAN4 加入到公用VLAN 中，VLAN3 和VLAN4 的用户可以访问公用接口步骤四：将实际的物理接口与VLAN 相对应S2724G(config)#interface GigabitEthernet 0/1----进入接口1，该接口连接服务器或者上联设备S2724G(config-if)#switchport mode private-vlan promiscuous----接口模式为混杂模式S2724G(config-if)#switchport private-vlan mapping 2 add 3-4锐捷RGNOS CookBook8----将VLAN3 和VLAN4 映射到VLAN2 上S2724G(config)#int gi 0/10 ----进入接口10S2724G(config-if)#switchport mode private-vlan hostS2724G(config-if)#switchport private-vlan host-association 2 3----该接口划分入VLAN3S2724G(config)#int gi 0/20 ----进入接口20S2724G(config-if)#switchport mode private-vlan hostS2724G(config-if)#switchport private-vlan host-association 2 4----该接口划分入VLAN4步骤五：完成VLAN 的映射S2724G(config)#int vlan 2 ----进入VLAN2 的SVI 接口S2724G(config-if)#ip address 192.168.2.1 255.255.255.0----配置VLAN2 的ip 地址S2724G(config-if)#private-vlan mapping add 3-4----将VLAN3 和VLAN4 加入到VLAN2 中注释：1. S20、S21 不支持私有VLAN，可以通过保护端口实现类似功能2. S3250、S3750 和S5750 同时支持保护端口和私有VLAN3. S3760 不支持私有VLAN 和保护端口———————————————————————————————————————2.4 端口汇聚配置提问：如何将交换机的端口捆绑起来使用？回答：S5750#confS5750(config)#interface range gigabitEthernet 0/1 –4 ----同时进入1 到4 号接口S5750(config-if)#port-group 1 ----设置为聚合口1S5750(config)#interface aggregateport 1 ----进入聚合端口1注意：配置为AP 口的接口将丢失之前所有的属性，以后关于接口的操作只能在AP1 口上面锐捷RGNOS CookBook9进行———————————————————————————————————————2.5 生成树配置提问：如何配置交换机的生成树？回答：步骤一：根桥的设置switch_A#conf tswitch_A(config)#spanning-tree ---默认模式为MSTPswitch_A(config)#spanning-tree mst configurationswitch_A(config)#spanning-tree mst 10 priority 4096 ---设置为根桥步骤二：非根桥的设置switch_B#conf tswitch_B(config)#spanning-tree ---默认模式为MSTPswitch_B(config)#spanning-tree mst configurationswitch_B(config)#int f0/1 ---PC 的接入端口switch_B(config)#spanning-tree bpduguard enableswitch_B(config)#spanning-tree portfast ———————————————————————————————————————2.6 端口镜像配置提问：如何配置交换机的端口镜像？回答：switch#conf tswitch#(config)#switch (config)# monitor session 1 source interface gigabitEthernet 3/1 both---监控源口为g3/1switch (config)# monitor session 1 destiNation interface gigabitEthernet 3/8 switch---监控目的口为g3/8，并开启交换功能注意：S2026 交换机镜像目的端口无法当做普通接口使用。

全国技能大赛指导网 -国赛网锐捷 RGNOS CookBookv1.1锐捷网络远程支持中心制作前言锐捷RGNOS CookBook这本书的特点就是可以帮助你快速找到解决问题的方法，而不需要 你从大量的文档中去查找，你可以现学现卖，就像菜谱一样，照着里面的步骤去做就行了，当然 也要注意下里面的参考注释。

这本锐捷 RGNOS Cookbook 就是专注于锐捷RGNOS 系统配置 的，可以当做一本应急手册来使用，也可以逐篇阅读，因为里面很多小技巧也许你从来没有注意 过。

本书是基于锐捷 RGNOS 10.X 为基础进行撰写， 在内容上更新在于涵盖了 RGNOS 10.2(2) 的新特性，原有的内容还继续保留，毕竟锐捷的很多配置向后兼容，只是特别注明了一些新选项 而已，我们将定期进行更新和充实内容，希望对你能所帮助，同时也希望你能够喜欢她。

2锐捷 RGNOS CookBook目录第一章：设备配置和文件管理.......................................................................................................4 1.1 通过TELNET方式来配置设备 ........................................................................................4 1.2 更改IOS命令的特权等级 ...............................................................................................4 1.3 设备时钟设置 ...................................................................................................................5 第二章：交换机基础配置...............................................................................................................5 2.1 交换机vlan和trunk的配置 ..............................................................................................5 2.2 turnk接口修剪配置 .........................................................................................................6 2.3 PVLAN配置.......................................................................................................................7 2.4 端口汇聚配置...................................................................................................................8 2.5 生成树配置.......................................................................................................................9 2.6 端口镜像配置...................................................................................................................9 第三章：交换机防止ARP欺骗配置 .............................................................................................10 3.1 交换机地址绑定（address-bind）功能 .....................................................................10 3.2 交换机端口安全功能.....................................................................................................10 3.3 交换机arp-check功能 ..................................................................................................11 3.4 交换机ARP动态检测功能(DAI) ..................................................................................11 第四章：访问控制列表配置（ACL） .........................................................................................12 4.1 标准ACL配置..................................................................................................................12 4.2 扩展ACL配置 .................................................................................................................13 4.3 VLAN之间的ACL配置 ...................................................................................................13 4.4 单向ACL的配置 .............................................................................................................15 第五章：应用协议配置.................................................................................................................16 5.1 DHCP服务配置................................................................................................................16 5.2 交换机dot1x认证配置 ..................................................................................................18 5.3 QOS限速配置 ................................................................................................................19 5.4 IPsec配置 .......................................................................................................................20 5.5 GRE配置..........................................................................................................................22 5.6 PPTP配置.........................................................................................................................22 5.7 路由器L2TP配置 ...........................................................................................................23 5.8 路由器NAT配置 ............................................................................................................24 第六章：路由协议配置.................................................................................................................25 6.1 默认路由配置 .................................................................................................................25 6.2 静态路由配置.................................................................................................................25 6.3 浮动路由配置.................................................................................................................25 6.4 策略路由配置.................................................................................................................25 6.5 OSPF配置 .......................................................................................................................26 6.6 OSPF中router ID配置.................................................................................................273锐捷 RGNOS CookBook———————————————————————————1.1 通过 TELNET 方式来配置设备提问：如何通过 telnet 方式来配置设备？ 回答： 步骤一：配置 VLAN1 的 IP 地址 S5750>en S5750#conf S5750(config)#int vlan 1 S5750(config-if)#ip address 192.168.0.230 255.255.255.0 ----为 vlan 1 接口上设置管理 ip S5750(config-if)#exit 步骤二：配置 telnet 密码 S5750(config)#line vty 0 4 S5750(config-line)#login S5750(config-line)#password rscstar S5750(config-line)#exit S5750(config)#enable secret 0 rscstar ----配置进入特权模式的密码为 rscstar 步骤三：开启 SSH 服务（可选操作） S5750(config)#enable service ssh-server S5750(config)#ip ssh version 2 S5750(config)#exit S5750#wri ---开启 ssh 服务 ----启用 ssh version 2 ----回到特权模式 ----保存配置 ----进入 telnet 密码配置模式 ---启用需输入密码才能 telnet 成功 ----将 telnet 密码设置为 rscstar ----回到全局配置模式 ----退回到全局配置模式 ----进入特权模式 ----进入全局配置模式 ----进入 vlan 1 接口———————————————————————————————————————1.2 更改 IOS 命令的特权等级提问：如何只允许 dixy 这个用户使用与 ARP 相关的命令？ 回答： S5750(config)#username dixy password dixy ----设置 dixy 用户名和密码4锐捷 RGNOS CookBook S5750(config)#username dixy privilege 10 S5750(config)#privilege exec level 10 show arp ----权限 10 可以使用 show arp 命令 S5750(config)#privilege config all level 10 arp ----权限 10 可以使用所有 arp 打头的命令 S5750(config)#line vty 0 4 S5750(config-line)#no password S5750(config-line)#login local ----配置 telnet 登陆用户 ----dixy 帐户的权限为 10注释：15 级密码为 enable 特权密码，无法更改，0 级密码只能支持 disable，enable，exit 和 help，1 级密码无法进行配置。

锐捷5750基本配置锐捷5750基本配置并不复杂，可以通过以下方式来进行设备配置。

1.1通过TELNET方式来配置设备提问:如何通过telnet方式来配置设备,回答: 步骤一:配置VLAN1的IP地址S5750>en----进入特权模式S5750#conf----进入全局配置模式S5750(config)#intvlan1----进入vlan1接口S5750(config-if)#ip address192.168.0.230255.255.255.0----为vlan1接口上设置管理ip S5750(config-if)#exit----退回到全局配置模式步骤二:配置telnet密码S5750(config)#linevty04----进入telnet密码配置模式S5750(config-line)#login---启用需输入密码才能telnet成功S5750(config-line)#passwordrscstar----将telnet密码设置为rscstar S5750(config-line)#exit----回到全局配置模式enablesecretlevel150rscstar ----配置进入特权模式的密码为rscstar1.2更改IOS命令的特权等级提问:如何只允许dixy这个用户使用与ARP相关的命令,回答:S5750(config)#usernamedixypassworddixy----设置dixy用户名和密码S5750(config)#usernamedixyprivilege10----dixy帐户的权限为10 S5750(config)#privilegeexeclevel10showarp----权限10可以使用showarp命令S5750(config)#privilegeconfigalllevel10arp----权限10可以使用所有arp打头的命令S5750(config)#linevty04----配置telnet登陆用户S5750(config-line)#nopassword S5750(config-line)#loginlocal 1.3设备时钟设置提问:如何设置设备时钟,回答: S5750#clockset12:45:5511252008----设置时间为2008年11月25日12点45分55秒S5750#clock update-calendar----设置日历更新S5750(config)#clocktimezoneCN822----时间名字为中国，东8区22分2.1交换机vlan和trunk的配置提问:如何在交换机上划分vlan，配置trunk接口,回答:步骤一:给交换机配置IP地址S2724G#conf S2724G(config)#intvlan1S2724G(config-if)#ipaddess192.168.0.100255.255.255.0----给VLAN1 配置IP 地址S2724G(config-if)#noshutdown----激活该VLAN接口S2724G(config-if)#exit S2724G(config)#ipdefault-gateway192.168.0.1---指定交换机的网关地址步骤二:创建VLANS2724G#conf S2724G(config)#vlan10----创建VLAN10S2724G(config-vlan)#exit S2724G(config)#vlan20----创建VLAN20S2724G(config-vlan)#exit步骤三:把相应接口指定到相应的VLAN中S2724G(config)#intgi0/10 S2724G(config-if)#switchaccessvlan10----把交换机的第10端口划到VLAN 10中S2724G(config-if)#exit S2724G(config)#intgi0/20 S2724G(config-if)#switchaccessvlan20----把交换机的第20端口划到VLAN 20中S2724G(config-if)#exit S2724G(config)#intgi0/24 S2724G(config-if)#switchmodetrunk----设置24口为Trunk模式(与三层交换机的连接口S2724G(config-if)#步骤四:保存配置S2724G(config-if)#end S2724G#write 2.2turnk接口修剪配置提问:如何让trunk接口只允许部分vlan通过,回答: Switch(config)#intfa0/24Switch(config-if)#switchmodetrunkSwitch(config-if)#switchporttrunkallowedvlanremove10,20,30-40 ----不允许VLAN10,20,30-40通过Trunk口2.3PVLAN配置提问:如何实现几组用户之间的隔离，但同时又都能访问公用服务,回答:步骤一:创建隔离VLAN S2724G#conf S2724G(config)#vlan3----创建VLAN3 S2724G(config-vlan)#private-vlancommunity----将VLAN3设为隔离VLAN S2724G(config)#vlan4----创建VLAN4 S2724G(config-vlan)#private-vlancommunity----将VLAN4设为隔离VLAN S2724G(config-vlan)#exit----退回到特权模式步骤二:创建主VLAN S2724G(config)#vlan2----进入VLAN2 S2724G(config-vlan)#private-vlanprimary----VLAN2为主VLAN步骤三: 将隔离VLAN加到到主VLAN中VLANS2724G(config-vlan)#private-vlanassociationadd3-4----将VLAN3 和VLAN4加入到公用VLAN中，VLAN3和VLAN4的用户可以访问公用接口步骤四:将实际的物理接口与VLAN相对应S2724G(config)#interfaceGigabitEthernet0/1 ----进入接口1，该接口连接服务器或者上联设备S2724G(config-if)#switchportmodeprivate-vlanpromiscuous----接口模式为混杂模式S2724G(config-if)#switchportprivate-vlanmapping2add3-4----将VLAN3和VLAN4映射到VLAN2上S2724G(config)#intgi0/10----进入接口10 S2724G(config-if)#switchportmodeprivate-vlanhost S2724G(config-if)#switchportprivate-vlanhost-association23----该接口划分入VLAN3 S2724G(config)#intgi0/20----进入接口20 S2724G(config-if)#switchportmodeprivate-vlanhost S2724G(config-if)#switchportprivate-vlanhost-association24 ----该接口划分入VLAN4步骤五:完成VLAN的映射S2724G(config)#intvlan2----进入VLAN2的SVI接口S2724G(config-if)#ipaddress192.168.2.1255.255.255.0----配置VLAN2的ip地址S2724G(config-if)#private-vlanmappingadd3-4----将VLAN3和VLAN4 加入到VLAN2中注释: 1.S20、S21不支持私有VLAN，可以通过保护端口实现类似功能2.S3250、S3750和S5750同时支持保护端口和私有VLAN3.S3760不支持私有VLAN和保护端口2.4端口汇聚配置提问:如何将交换机的端口捆绑起来使用, 回答: S5750#confS5750(config)#interfacerangegigabitEthernet0/1–4----同时进入1 到4号接口S5750(config-if)#port-group1----设置为聚合口1 S5750(config)#interfaceaggregateport1----进入聚合端口1注意:配置为AP 口的接口将丢失之前所有的属性，以后关于接口的操作只能在AP1口上面进行2.5生成树配置提问:如何配置交换机的生成树,回答: 步骤一:根桥的设置switch_A#conft switch_A(config)#spanning-tree---默认模式为MSTP switch_A(config)#spanning-treemstconfiguration switch_A(config)#spanning-treemst10priority4096---设置为根桥步骤二:非根桥的设置switch_B#conft switch_B(config)#spanning-tree---默认模式为MSTP switch_B(config)#spanning-treemstconfiguration switch_B(config)#intf0/1---PC的接入端口switch_B(config)#spanning-treebpduguardenable switch_B(config)#spanning-treeportfast 2.6端口镜像设置提问:如何配置交换机的端口镜像, 回答: switch#conft switch#(config)# switch(config)#monitorsession1sourceinterfacegigabitEthernet 3/1both---监控源口为g3/1 switch(config)#monitorsession1destinationinterface gigabitEthernet3/8 switch---监控目的口为g3/8，并开启交换功能注意:S2026交换机镜像目的端口无法当做普通接口使用。

RG-NBS5750-28GT4XS-E系列 新一代高性能以太网交换机锐捷网络股份有限公司了解更多产品信息，欢迎登陆，咨询电话：400-100-0078。

产品概述RG-NBS5750-E系列交换机是锐捷网络最新推出的高性能、强安全、集成多业务的新一代以太网交换机，该系列交换机采用业界领先硬件架构设计，搭载锐捷网络最新的RGOS11.X模块化操作系统，提供更大的表项规格、更快的硬件处理性能、更便捷的操作使用体验。

RG-NBS5750-E系列提供灵活的千兆接入及高密度的万兆端口扩展能力，全系列交换机均固化4端口万兆光，采用双扩展槽设计，支持高密、高性能端口上行能力。

充分满足用户高密度接入和高性能汇聚的需求。

RG-NBS5750-E系列交换机以极高的性价比为大型网络汇聚、中小型网络核心、数据中心服务器接入提供了高性能、完善的端到端的服务质量、灵活丰富的安全设置，最大化满足高速、安全、智能的企业网需求。

产品特性IPv4/IPv6双协议栈多层交换硬件支持IPv4/IPv6双协议栈多层线速交换，硬件区分和处理IPv4、IPv6协议报文，可根据IPv6网络的需求规划网络或者维持网络现状，提供灵活的IPv6网络通信方案。

支持丰富的IPv4路由协议，包括静态路由、RIP、OSPFv2、IS-ISv4、BGP4等，满足不同网络环境中用户选择合适的路由协议灵活组建网络。

同时支持丰富的IPv6路由协议，包括静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+等，不论是在升级现有网络至IPv6网络，还是新建IPv6网络，都可灵活选择合适的路由协议组建网络。

虚拟交换单元（VSU，Virtual Switching Unit）支持虚拟交换单元技术（VSU，Virtual Switch Unit）即虚拟交换单元技术。

通过聚合链路的连接，能够将多台物理设备进行互联，使其虚拟为一台逻辑设备，利用单一IP地址、单一Telnet进程、单一命令行接口、自动版本检查、自动配置等特性进行管理，对用户来说仅仅是在管理一台设备，但是却实现着多台设备带来的工作效率和使用体验。

3.1 交换机地址绑定（address-bind）功能提问：如何对用户ip+mac 进行两元素绑定？回答：S5750#confS5750(config)# address-bind 192.168.0.101 0016.d390.6cc5----绑定ip 地址为192.168.0.101 MAC 地址为0016.d390.6cc5 的主机让其使用网络S5750(config)# address-bind uplink GigabitEthernet 0/1----将g0/1 口设置为上联口，也就是交换机通过g0/1 的接口连接到路由器或是出口设备，如果接口选择错误会导致整网不通S5750(config)# address-bind install ----使能address-bind 功能S5750(config)#end ----退回特权模式S5750# wr ----保存配置注释：1. 如果修改ip 或是MAC 地址该主机则无法使用网络，可以按照此命令添加多条，添加的条数跟交换机的硬件资源有关2. S21 交换机的address-bind 功能是防止Ip 冲突，只有在交换机上绑定的才进行ip 和MAC 的匹配，如果下边用户设置的ip 地址在交换机中没绑定，交换机不对该数据包做控制，直接转发。

———————————————————————————————————————3.2 交换机端口安全功能提问：如何对用户ip+mac+接口进行三元素绑定？回答：S5750#confS5750(config)# int g0/23----进入第23 接口，准备在该接口绑定用户的MAC 和ip 地址S5750(config-if)# switchport port-security mac-address 0016.d390.6cc5ip-address 192.168.0.101锐捷RGNOS CookBook11----在23 端口下绑定ip 地址是192.168.0.101 MAC 地址是0016.d390.6cc5 的主机，确保该主机可以正常使用网络，如果该主机修改ip 或者MAC 地址则无法使用网络，可以添加多条来实现对接入主机的控制S5750(config-if)# switchport port-security ----开启端口安全功能S5750(config)#end ----退会特权模式S5750# wr ----保存配置注释：可以通过在接口下设置最大的安全地址个数从而来控制控制该接口下可使用的主机数，安全地址的个数跟交换机的硬件资源有关———————————————————————————————————————3.3 交换机arp-check 功能提问：如何防止错误的arp 信息在网络里传播？回答：S5750#confS5750(config)# int g0/23----进入第23 接口，准备在该接口绑定用户的MAC 和ip 地址S5750(config-if)# switchport port-security mac-address 0016.d390.6cc5ip-address 192.168.0.101 ----ip+mac 绑定信息S5750(config-if)# switchport port-security ----开启端口安全功能S5750(config-if)# switchport port-security arp-check ----开启端arp 检查功能S5750(config)#end ----退会特权模式S5750# wr ----保存配置注释：开启arp-check 功能后安全地址数减少一半，具体情况请查阅交换机配置指南———————————————————————————————————————3.4 交换机ARP 动态检测功能(DAI)提问：如何在动态环境下防止ARP 欺骗？回答：锐捷RGNOS CookBook12步骤一：配置DHCP snoopingS3760#con tS3760(config)#ip dhcp snooping ----开启dhcp snoopingS3760(config)#int f 0/1S3760(config-if)#ip dhcp snooping trust ----设置上连口为信任端口（注意：缺省所有端口都是不信任端口）,只有此接口连接的服务器发出的DHCP 响应报文才能够被转发.S3760(config-if)#exitS3760(config)#int f 0/2S3760(config-if)# ip dhcp snooping address-bind----配置DHCP snooping 的地址绑定功能S3760(config-if)#exitS3760(config)#int f 0/3S3760(config-if)# ip dhcp snooping address-bind----配置DHCP snooping 的地址绑定功能步骤二：配置DAIS3760(config)# ip arp inspection ----启用全局的DAIS3760(config)# ip arp inspection vlan 2 ----启用vlan2 的DAI 报文检查功能S3760(config)# ip arp inspection vlan 3 ----启用vlan3 的DAI 报文检查功能。

4.1 标准ACL 配置提问：如何只允许端口下的用户只能访问特定的服务器网段？回答：步骤一：定义ACLS5750#conf t ----进入全局配置模式S5750(config)#ip access-list standard 1 ----定义标准ACLS5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255----允许访问服务器资源S5750(config-std-nacl)#deny any ----拒绝访问其他任何资源锐捷RGNOS CookBook13S5750(config-std-nacl)#exit ----退出标准ACL 配置模式步骤二：将ACL 应用到接口上S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口S5750(config-if)#ip access-group 1 in ----将标准ACL 应用到端口in 方向注释：1. S1900 系列、S20 系列交换机不支持基于硬件的ACL。

2. 实际配置时需注意，在交换机每个ACL 末尾都隐含着一条“拒绝所有数据流”的语句。

3. 以上所有配置，均以锐捷网络S5750-24GT/12SFP 软件版本10.2（2）为例。

其他说明，其详见各产品的配置手册《访问控制列表配置》一节。

———————————————————————————————————————4.2 扩展ACL 配置提问：如何禁止用户访问单个网页服务器？回答：步骤一：定义ACLS5750#conf t ----进入全局配置模式S5750(config)#ip access-list extended 100 ----创建扩展ACLS5750(config-ext-nacl)#deny tcp any host 192.168.1.254 eq www ----禁止访问web 服务器S5750(config-ext-nacl)#deny tcp any any eq 135 ----预防冲击波病毒S5750(config-ext-nacl)#deny tcp any any eq 445 ----预防震荡波病毒S5750(config-ext-nacl)#permit ip any any ----允许访问其他任何资源S5750(config-ext-nacl)#exit ----退出ACL配置模式步骤二：将ACL 应用到接口上S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口S5750(config-if)#ip access-group 100 in ----将扩展ACL 应用到端口下———————————————————————————————————————4.3 VLAN 之间的ACL 配置提问：如何禁止VLAN 间互相访问？回答：步骤一：创建vlan10、vlan20、vlan30锐捷RGNOS CookBook14S5750#conf ----进入全局配置模式S5750(config)#vlan 10 ----创建VLAN10S5750(config-vlan)#exit ----退出VLAN 配置模式S5750(config)#vlan 20 ----创建VLAN20S5750(config-vlan)#exit ----退出VLAN 配置模式S5750(config)#vlan 30 ----创建VLAN30S5750(config-vlan)#exit ----退出VLAN 配置模式步骤二：将端口加入各自vlanS5750(config)# interface range gigabitEthernet 0/1-5----进入gigabitEthernet 0/1-5 号端口S5750(config-if-range)#switchport access vlan 10----将端口加划分进vlan10S5750(config-if-range)#exit ----退出端口配置模式S5750(config)# interface range gigabitEthernet 0/6-10----进入gigabitEthernet 0/6-10 号端口S5750(config-if-range)#switchport access vlan 20----将端口加划分进vlan20S5750(config-if-range)#exit ----退出端口配置模式S5750(config)# interface range gigabitEthernet 0/11-15----进入gigabitEthernet 0/11-15 号端口S5750(config-if-range)#switchport access vlan 30----将端口加划分进vlan30S5750(config-if-range)#exit ----退出端口配置模式步骤三：配置vlan10、vlan20、vlan30 的网关IP 地址S5750(config)#interface vlan 10 ----创建vlan10 的SVI 接口S5750(config-if)#ip address 192.168.10.1 255.255.255.0----配置VLAN10 的网关S5750(config-if)#exit ----退出端口配置模式S5750(config)#interface vlan 20 ----创建vlan10 的SVI 接口S5750(config-if)#ip address 192.168.20.1 255.255.255.0锐捷RGNOS CookBook15----配置VLAN10 的网关S5750(config-if)#exit ----退出端口配置模式S5750(config)#interface vlan 30 ----创建vlan10 的SVI 接口S5750(config-if)#ip address 192.168.30.1 255.255.255.0----配置VLAN10 的网关S5750(config-if)#exit ----退出端口配置模式步骤四：创建ACL，使vlan20 能访问vlan10，而vlan30 不能访问vlan10S5750(config)#ip access-list extended deny30 ----定义扩展ACLS5750(config-ext-nacl)#deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255----拒绝vlan30 的用户访问vlan10 资源S5750(config-ext-nacl)#permit ip any any----允许vlan30 的用户访问其他任何资源S5750(config-ext-nacl)#exit ----退出扩展ACL配置模式步骤五：将ACL 应用到vlan30 的SVI 口in 方向S5750(config)#interface vlan 30 ----创建vlan30 的SVI 接口S5750(config-if)#ip access-group deny30 in----将扩展ACL 应用到vlan30 的SVI 接口下———————————————————————————————————————4.4 单向ACL 的配置提问：如何实现主机A 可以访问主机B 的FTP 资源，但主机B 无法访问主机A 的FTP 资源？？回答：步骤一：定义ACLS5750#conf t ----进入全局配置模式S5750(config)#ip access-list extended 100 ----定义扩展ACLS5750(config-ext-nacl)#deny tcp any host 192.168.1.254 match-all syn----禁止主动向A 主机发起TCP 连接S5750(config-ext-nacl)#permit ip any any ----允许访问其他任何资源S5750(config-ext-nacl)#exit ----退出扩展ACL配置模式锐捷RGNOS CookBook16步骤二：将ACL 应用到接口上S5750(config)#interface GigabitEthernet 0/1 ----进入连接B 主机的端口S5750(config-if)#ip access-group 100 in ----将扩展ACL 应用到端口下S5750(config-if)#end ----退回特权模式S5750#wr ----保存注释：单向ACL 只能对应于TCP 协议，使用PING 无法对该功能进行检测。

如何配置锐捷三层交换机的端口流量步骤一：创建vlan10、vlan20、vlan30s5750#conf ----进入全局配置模式s5750(config)#vlan 10 ----创建vlan10s5750(config-vlan)#exit ----退出vlan配置模式s5750(config)#vlan 20 ----创建vlan20s5750(config-vlan)#exit ----退出vlan配置模式s5750(config)#vlan 30 ----创建vlan30s5750(config-vlan)#exit ----退出vlan配置模式步骤二：将端口加入各自vlans5750(config)# interface range gigabitethernet 0/1-5 ----进入gigabitethernet 0/1-5号端口s5750(config-if-range)#switchport access vlan 10 ----将端口加划分进vlan10s5750(config-if-range)#exit ----退出端口配置模式s5750(config)# interface range gigabitethernet 0/6-10 ----进入gigabitethernet 0/6-10号端口s5750(config-if-range)#switchport access vlan 20 ----将端口加划分进vlan20s5750(config-if-range)#exit ----退出端口配置模式s5750(config)# interface range gigabitethernet 0/11-15 ----进入gigabitethernet 0/11-15号端口s5750(config-if-range)#switchport access vlan 30 ----将端口加划分进vlan30s5750(config-if-range)#exit ----退出端口配置模式步骤三：配置vlan10、vlan20、vlan30的网关ip地址s5750(config)#interface vlan 10 ----创建vlan10的svi接口s5750(config-if)#ip address 192.168.10.1 255.255.255.0 ----配置vlan10的网关s5750(config-if)#exit ----退出端口配置模式s5750(config)#interface vlan 20 ----创建vlan10的svi接口s5750(config-if)#ip address 192.168.20.1 255.255.255.0 ----配置vlan10的网关s5750(config-if)#exit ----退出端口配置模式s5750(config)#interface vlan 30 ----创建vlan10的svi接口s5750(config-if)#ip address 192.168.30.1 255.255.255.0 ----配置vlan10的网关s5750(config-if)#exit ----退出端口配置模式步骤四：创建acl，使vlan20能访问vlan10，而vlan30不能访问vlan10s5750(config)#ip access-list extended deny30 ----定义扩展acls5750(config-ext-nacl)#deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255----拒绝vlan30的用户访问vlan10资源s5750(config-ext-nacl)#permit ip any any ----允许vlan30的用户访问其他任何资源s5750(config-ext-nacl)#exit ----退出扩展acl配置模式步骤五：将acl应用到vlan30的svi口in方向s5750(config)#interface vlan 30 ----创建vlan30的svi接口s5750(config-if)#ip access-group deny30 in ----将扩展acl应用到vlan30的svi接口下背景介绍下图为某学校网络拓扑模拟图,接入层设备采用S2126G交换机,在接入交换机上划分了办公网VLAN20和学生网VLAN30,为了保证网络的稳定性,接入层和汇聚层通过两条链路相连,汇聚层交换机采用S3550,汇聚层交换机通过VLAN1中的接口F0/10与RA相连,RA通过广域网口和RB相连,RB以太网口连接一台FTP服务器,通过路由协议,实现全网的互通.实验要求1.在S3550与S2126两台设备创建相应的VLAN.A)S2126的VLAN20包含F0/1-5端口.B)S2126的VLAN30包含F0/6-10端口.C)在S3550上创建VLAN80.D)将F0/18-20,F0/22加入到VLAN80.2.S3550与S2126两台设备利用F0/23与F0/24建立TRUNK链路.A)S2126的F0/23和S3550的F0/23建立TRUNK链路.B)S2126的F0/24和S3550的F0/24建立TRUNK链路.3.S3550与S2126两台设备之间提供冗余链路.A)配置快速生成树协议实现冗余链路.B)将S3550设置为根交换机.4.在RA和RB上配置接口IP地址.A)根据拓扑要求为每个接口配置IP地址.B)保证所有配置的接口状态为UP.5.配置S3550的路由功能A)配置S3550实验VLAN20、VLAN30、VLAN80之间的互通.B)S3550通过VLAN1中的F0/10接口和RA相连,在S3550上PING 路由器A的F1/0地址,PING 通得5分6.配置S2126的端口安全功能A)在S2126上设置F0/8为安全端口.B)安全地址最大数为4个.C)违例策略设置为SHUTDOWN.7.运用RIP V2路由协议配置全网路由A)在S3550、路由器A、路由器B上,能够学习到网络中所有网段的信息.8.在RA上配置安全策略.A)学生不可以访问服务器1.1.1.18的FTP服务.B)学生可以访问其它网络的任何资源.C)对办公网的任何访问不做限制.Ra:RA#conf tRA(config)#int f1/0RA(config-if)#ip ad 10.1.1.1 255.255.255.0RA(config-if)#no shRA(config-if)#exitRA(config)#int s1/2RA(config-if)#ip ad 192.168.1.1 255.255.255.252RA(config-if)#no shRA(config-if)#exitRA(config)#router ripRA(config-router)#ver 2RA(config-router)#no auRA(config-router)#net 192.168.1.0RA(config-router)#net 10.1.1.0RA(config-router)#exitRA(config)#accRA(config)#access-list 100 deny tcp 192.168.30.0 0.0.0.255 1.1.1.18 0.0.0.255 eq ftpRA(config)#access-list 100 deny tcp 192.168.30.0 0.0.0.255 1.1.1.18 0.0.0.255 eq ftp-data RA(config)#access-list 100 permit ip any anyRA(config)#exitRA(config)#int s1/2RA(config-if)#ip access-group 100 outRA(config-if)#exitRA(config)#exitRA#Rb:Red-Giant #conf tRed-Giant (config)#ho rbrb(config)#int f1/0rb(config-if)#ip ad 1.1.1.1 255.255.255.0rb(config-if)#no shrb(config-if)#exitrb(config)#int s1/2rb(config-if)#ip ad 192.168.1.2 255.255.255.252rb(config-if)#no shrb(config-if)#exitrb(config)#router riprb(config-router)#net 192.168.1.0rb(config-router)#net 1.1.1.0rb(config-router)#ver 2rb(config-router)#no aurb(config-router)#exitrb(config)#int s1/2rb(config-if)#clock rate 64000rb(config-if)#exitrb(config)#exitrb#3550:Ruijie#conf tRuijie(config)#ho 35503550(config)#vl 203550(config-vlan)#exit3550(config)#vl 303550(config-vlan)#exit3550(config)#vl 803550(config-vlan)#exit3550(config)#int vl 203550(config-if-VLAN 20)#ip ad 192.168.20.1 255.255.255.0 3550(config-if-VLAN 20)#no shutdown3550(config-if-VLAN 20)#exit3550(config)#int vl 303550(config-if-VLAN 30)#ip ad 192.168.30.1 255.255.255.0 3550(config-if-VLAN 30)#no shutdown3550(config-if-VLAN 30)#exit3550(config)#int vl 803550(config-if-VLAN 80)#ip ad 192.168.80.1 255.255.255.0 3550(config-if-VLAN 80)#no shutdown3550(config-if-VLAN 80)#exit3550(config)#int r f 0/18-20,0/223550(config-if-range)#sw mo ac3550(config-if-range)#sw ac vl 803550(config-if-range)#no shutdown3550(config-if-range)#exit3550(config)#int r f0/23-243550(config-if-range)#sw mo t3550(config-if-range)#no shutdown3550(config-if-range)#exit3550(config)#spanning-tree3550(config)#spanning-tree mo r3550(config)#spanning-tree priority 40963550(config)#router rip3550(config-router)#ver 23550(config-router)#net 192.168.20.03550(config-router)#net 192.168. 30.03550(config-router)#net 192.168. 80.03550(config-router)#net 10.1.1.03550(config-router)#exit3550(config)#int vl 13550(config-if-VLAN 1)# ip ad 10.1.1.2 255.255.255.0 3550(config-if-VLAN 1)#no shutdown3550(config-if-VLAN 1)#exit3550(config)#ip routing3550(config)#exit2126:conf tSwitch(config)#ho 21262126(config)#vl 202126(config-vlan)#exit2126(config)#vl 302126(config-vlan)#exit2126(config)#int r fastEthernet 0/1-52126(config-if-range)#sw mo ac2126(config-if-range)#sw ac vl 202126(config-if-range)#no sh2126(config-if-range)#exit2126(config)#int r fastEthernet 0/6-102126(config-if-range)#sw mo ac2126(config-if-range)#sw ac vl 302126(config-if-range)#no sh2126(config-if-range)#exit2126(config)#int r fastEthernet 0/23-242126(config-if-range)#sw mo t2126(config-if-range)#no sh2126(config-if-range)#exit2126(config)#spanning-tree2126(config)#spanning-tree mo r2126(config)#int fastEthernet 0/82126(config-if)#sw port-security2126(config-if)#sw port-security maximum 42126(config-if)#sw port-security violation shutdown 2126(config-if)#exit2126(config)#exit。