锐捷交换机路由器常用配置操作

1.1通过TELNET方式来配置设备
提问：如何通过telnet方式来配置设备？
答复：
步骤一：配置VLAN1的IP地址
S5750>en ----进入特权形式
S5750#conf ----进入全局配置形式
S5750(config)#int vlan 1 ----进入vlan 1接口
S5750(config-if)#ip address 192.168.0.230 255.255.255.0
----为vlan 1接口上设置管理ip S5750(config-if)#exit ----退回到全局配置形式
步骤二：配置telnet密码
S5750(config)#line vty 0 4 ----进入telnet密码配置形式
S5750(config-line)#login ---启用需输入密码才能telnet成功
S5750(config-line)#password rscstar ----将telnet密码设置为rscstar
S5750(config-line)#exit ----回到全局配置形式
S5750(config)# enable secret level 15 0 rscstar
----配置进入特权形式的密码为rscstar 1.2更改IOS命令的特权等级
提问：如何只允许dixy这个用户使用与ARP相关的命令？
答复：
S5750(config)#username dixy password dixy ----设置dixy用户名和密码
S5750(config)#username dixy privilege 10 ----dixy帐户的权限为10
S5750(config)#privilege exec level 10 show arp
----权限10可以使用show arp命令S5750(config)#privilege config all level 10 arp
----权限10可以使用所有arp打头的命令S5750(config)#line vty 0 4 ----配置telnet登陆用户
S5750(config-line)#no password
S5750(config-line)#login local
设备时钟设置
提问：如何设置设备时钟？
答复：
S5750#clock set 12:45:55 11 25 2021
----设置时间为2021年11月25日12点45分55秒S5750#clock update-calendar ----设置日历更新
S5750(config)#clock timezone CN 8 22 ----时间名字为中国，东8区22分
2.1 交换机vlan和trunk的配置
提问：如何在交换机上划分vlan，配置trunk接口？
答复：
步骤一：给交换机配置IP地址
S2724G#conf
S2724G(config)#int vlan 1
----给VLAN 1配置IP地址
S2724G(config-if)#no shutdown ----激活该VLAN接口
S2724G(config-if)#exit
S2724G(config)#ip default-gateway 192.168.0.1 ---指定交换机的网关地址
步骤二：创立VLAN
S2724G#conf
S2724G(config)#vlan 10 ----创立VLAN 10
S2724G(config-vlan)#exit
S2724G(config)# vlan 20 ----创立VLAN 20
S2724G(config-vlan)#exit
步骤三：把相应接口指定到相应的VLAN中
S2724G(config)#int gi 0/10
S2724G(config-if)#switch access vlan 10 ----把交换机的第10端口划到VLAN 10中
S2724G(config-if)#exit
S2724G(config)#int gi 0/20
S2724G(config-if)#switch access vlan 20 ----把交换机的第20端口划到VLAN 20中
S2724G(config-if)#exit
S2724G(config)#int gi 0/24
S2724G(config-if)#switch mode trunk ----设置24口为Trunk形式〔与三层交换机的连接口S2724G(config-if)#
步骤四：保存配置
S2724G(config-if)#end
S2724G#write
2.2 turnk接口修剪配置
提问：如何让trunk接口只允许局部vlan通过？
答复：
Switch(config)#int fa 0/24
Switch (config-if)#switch mode trunk
Switch (config-if)#switchport trunk allowed vlan remove 10,20,30-40
----不允许VLAN10,20,30-40通过Trunk口
2.3 PVLAN配置
提问：如何实现几组用户之间的隔离，但同时又都能访问公用效劳？
答复：
步骤一：创立隔离VLAN
S2724G#conf
S2724G(config)#vlan 3 ----创立VLAN3
S2724G(config-vlan)#private-vlan community ----将VLAN3设为隔离VLAN S2724G(config)#vlan 4 ----创立VLAN4
S2724G(config-vlan)#private-vlan community ----将VLAN4设为隔离VLAN S2724G(config-vlan)#exit ----退回到特权形式
步骤二：创立主VLAN
S2724G(config)#vlan 2 ----进入VLAN2
S2724G(config-vlan)#private-vlan primary ----VLAN2为主VLAN
步骤三：将隔离VLAN加到到主VLAN中
VLANS2724G(config-vlan)#private-vlan association add 3-4
----将VLAN3和VLAN4参加到公用VLAN中，VLAN3和VLAN4的用户可以访问公用接口
步骤四：将实际的物理接口与VLAN相对应
S2724G(config)#interface GigabitEthernet 0/1
----进入接口1，该接口连接效劳器或者上联设备S2724G(config-if)#switchport mode private-vlan promiscuous
----接口形式为混杂形式S2724G(config-if)#switchport private-vlan mapping 2 add 3-4
----将VLAN3和VLAN4映射到VLAN2上S2724G(config)#int gi 0/10 ----进入接口10
S2724G(config-if)#switchport mode private-vlan host
S2724G(config-if)#switchport private-vlan host-association 2 3
----该接口划分入VLAN3 S2724G(config)#int gi 0/20 ----进入接口20
S2724G(config-if)#switchport mode private-vlan host
S2724G(config-if)#switchport private-vlan host-association 2
4
----该接口划分入VLAN4
步骤五：完成VLAN的映射
S2724G(config)#int vlan 2 ----进入VLAN2的SVI接口
S2724G(config-if)#ip address 192.168.2.1 255.255.255.0
----配置VLAN2的ip地址S2724G(config-if)#private-vlan mapping add 3-4
----将VLAN3和VLAN4参加到VLAN2中注释：
1. S20、S21不支持私有VLAN，可以通过保护端口实现类似功能
2. S3250、S3750和S5750同时支持保护端口和私有VLAN
3. S3760不支持私有VLAN和保护端口
2.4 端口会聚配置
提问：如何将交换机的端口捆绑起来使用？
答复：
S5750#conf
S5750(config)#interface range gigabitEthernet 0/1 – 4 ----同时进入1到4号接口S5750(config-if)#port-group 1 ----设置为聚合口1
S5750(config)#interface aggregateport 1 ----进入聚合端口1
注意：配置为AP口的接口将丧失之前所有的属性，以后关于接口的操作只能在AP1口上面进展
2.5 生成树配置
提问：如何配置交换机的生成树？
答复：
步骤一：根桥的设置
switch_A#conf t
switch_A(config)#spanning-tree ---默认形式为MSTP
switch_A(config)#spanning-tree mst configuration
switch_A(config)#spanning-tree mst 10 priority 4096 ---设置为根桥
步骤二：非根桥的设置
switch_B#conf t
switch_B(config)#spanning-tree ---默认形式为MSTP
switch_B(config)#spanning-tree mst configuration
switch_B(config)#int f0/1 ---PC的接入端口
switch_B(config)#spanning-tree bpduguard enable
switch_B(config)#spanning-tree portfast
2.6 端口镜像设置
提问：如何配置交换机的端口镜像？
答复：
switch#conf t
switch#(config)#
switch (config)# monitor session 1 source interface gigabitEthernet 3/1 both
---监控源口为g3/1 switch (config)# monitor session 1 destination interface gigabitEthernet 3/8 s
witch ---监控目的口为g3/8，并开启交换功能注意：S2026交换机镜像目的端口无法当做普通接口使用
3.1 交换机地址绑定〔address-bind〕功能
提问：如何对用户ip+mac进展两元素绑定？
答复：
S5750#conf
S5750(config)# address-bind 192.168.0.101 0016.d390.6cc5
----绑定ip地址为192.168.0.101 MAC地址为的主机让其使用网络S5750(config)# address-bind uplink GigabitEthernet 0/1
----将g0/1口设置为上联口，也就是交换机通过g0/1的接口连接到路由器或是出口设备，假如接口选择错误会导致整网不通
S5750(config)# address-bind install ----使能address-bind功能
S5750(config)#end ----退回特权形式
S5750# wr ----保存配置
注释：
1. 假如修改ip或是MAC地址该主机那么无法使用网络，可以按照此命令添加多条，添加的条数跟交换机的硬件资源有关
2. S21交换机的address-bind功能是防止Ip冲突，只有在交换机上绑定的才进展ip和M AC的匹配，假如下边用户设置的ip地址在交换机中没绑定，交换机不对该数据包做控制，直接转发。

3.2 交换机端口平安功能
提问：如何对用户ip+mac+接口进展三元素绑定？
答复：
S5750#conf
S5750(config)# int g0/23 ----进入第23接口，准备在该接口绑定用户的MAC和ip地址S5750(config-if)# switchport port-security mac-address 0016.d390.6cc5 ip-addres s 192.168.0.101
----在23端口下绑定ip地址是192.168.0.101 MAC地址是的主机，确保该主机可以正常使用网络，假如该主机修改ip或者MAC地址那么无法使用网络，可以添加多条来实现对接入主机的控制
S5750(config-if)# switchport port-security ----开启端口平安功能
S5750(config)#end ----退会特权形式
S5750# wr ----保存配置
注释：可以通过在接口下设置最大的平安地址个数从而来控制控制该接口下可使用的主机数，平安地址的个数跟交换机的硬件资源有关
3.3 交换机arp-check功能
提问：如何防止错误的arp信息在网络里传播？
答复：
S5750#conf
S5750(config)# int g0/23 ----进入第23接口，准备在该接口绑定用户的MAC和ip地址S5750(config-if)# switchport port-security mac-address 0016.d390.6cc5 ip-addres s 192.168.0.101 ----ip+mac绑定信息
S5750(config-if)# switchport port-security ----开启端口平安功能
S5750(config-if)# switchport port-security arp-check ----开启端arp检查功能S5750(config)#end ----退会特权形式
S5750# wr ----保存配置
注释：开启arp-check功能后平安地址数减少一半，详细情况请查阅交换机配置指南
3.4 交换机ARP动态检测功能(DAI)
提问：如何在动态环境下防止ARP欺骗？
答复：
步骤一：配置DHCP snooping
S3760#con t
S3760(config)#ip dhcp snooping ----开启dhcp snooping
S3760(config)#int f 0/1
S3760(config-if)#ip dhcp snooping trust ----设置上连口为信任端口〔注意：缺省所有端口都是不信任端口〕,只有此接口连接的效劳器发出的DHCP响应报文才可以被转发. S3760(config-if)#exit
S3760(config)#int f 0/2
S3760(config-if)# ip dhcp snooping address-bind
----配置DHCP snooping的地址绑定功能
S3760(config-if)#exit
S3760(config)#int f 0/3
S3760(config-if)# ip dhcp snooping address-bind
----配置DHCP snooping的地址绑定功能步骤二：配置DAI
S3760(config)# ip arp inspection ----启用全局的DAI
S3760(config)# ip arp inspection vlan 2 ----启用vlan2的DAI报文检查功能
S3760(config)# ip arp inspection vlan 3 ----启用vlan3的DAI报文检查功能
4.1 标准ACL配置
提问：如何只允许端口下的用户只能访问特定的效劳器网段？
答复：
步骤一：定义ACL
S5750#conf t ----进入全局配置形式
S5750(config)#ip access-list standard 1 ----定义标准ACL
S5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255 ----允许访问效劳器资源
S5750(config-std-nacl)#deny any ----回绝访问其他任何资源
S5750(config-std-nacl)#exit ----退出标准ACL配置形式
步骤二：将ACL应用到接口上
S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口
S5750(config-if)#ip access-group 1 in ----将标准ACL应用到端口in方向
注释：
1. S1900系列、S20系列交换机不支持基于硬件的ACL。

2. 实际配置时需注意，在交换机每个ACL末尾都隐含着一条“回绝所有数据流〞的语句。

3. 以上所有配置，均以锐捷网络S5750-24GT/12SFP 软件版本〔2〕为例。

其他说明，其详见各产品的配置手册?访问控制列表配置?一节。

4.2 扩展ACL配置
提问：如何制止用户访问单个网页效劳器？
答复：
步骤一：定义ACL
S5750#conf t ----进入全局配置形式
S5750(config)#ip access-list extended 100 ----创立扩展ACL
S5750(config-ext-nacl)#deny tcp any host 192.168.1.254 eq www
----制止访问web效劳器S5750(config-ext-nacl)#deny tcp any any eq 135 ----预防冲击波病毒
S5750(config-ext-nacl)#deny tcp any any eq 445 ----预防震荡波病毒
S5750(config-ext-nacl)#permit ip any any ----允许访问其他任何资源
S5750(config-ext-nacl)#exit ----退出ACL配置形式
步骤二：将ACL应用到接口上
S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口
S5750(config-if)#ip access-group 100 in ----将扩展ACL应用到端口下
4.3 VLAN之间的ACL配置
提问：如何制止VLAN间互相访问？
答复：
步骤一：创立vlan10、vlan20、vlan30
S5750#conf ----进入全局配置形式
S5750(config)#vlan 10 ----创立VLAN10
S5750(config-vlan)#exit ----退出VLAN配置形式
S5750(config)#vlan 20 ----创立VLAN20
S5750(config-vlan)#exit ----退出VLAN配置形式
S5750(config)#vlan 30 ----创立VLAN30
S5750(config-vlan)#exit ----退出VLAN配置形式
4.4 单向ACL的配置
提问：如何实现主机A可以访问主机B的FTP资源，但主机B无法访问主机A的FTP资源？？答复：
步骤一：定义ACL
S5750#conf t ----进入全局配置形式
S5750(config)#ip access-list extended 100 ----定义扩展ACL
S5750(config-ext-nacl)#deny tcp any host 192.168.1.254 match-all syn
----制止主动向A主机发起TCP连接S5750(config-ext-nacl)#permit ip any any ----允许访问其他任何资源
S5750(config-ext-nacl)#exit ----退出扩展ACL配置形式
步骤二：将ACL应用到接口上
S5750(config)#interface GigabitEthernet 0/1 ----进入连接B主机的端口
S5750(config-if)#ip access-group 100 in ----将扩展ACL应用到端口下
S5750(config-if)#end ----退回特权形式
S5750#wr ----保存
注释：单向ACL只能对应于TCP协议，使用PING无法对该功能进展检测
5.1 DHCP效劳配置
提问：如何在设备上开启DHCP效劳，让不同VLAN下的电脑获得相应的IP地址？
答复：
步骤一：配置VLAN网关IP地址，及将相关端口划入相应的VLAN中
S3760#con t
S3760(config)#vlan 2 ----创立VLAN2
S3760(config-vlan)#exit ----退回到全局配置形式下
S3760(config)#vlan 3 ----创立VLAN3
S3760(config-vlan)#exit ----退回到全局配置形式下
S3760(config)#int vlan 2 ----进入配置VLAN2
----设置VLAN2的IP地址
S3760(config-if)#exit ----退回到全局配置形式下
S3760(config)#int vlan 3 ----进入配置VLAN3
S3760(config-if)#ip add 192.168.3.1 255.255.255.0 ----设置VLAN3的IP地址5.2 交换机dot1x认证配置
提问：如何在交换机上开启dot1x认证？
答复：
步骤一：根本AAA配置
Switch#conf
Switch(config)# aaa new-model ----启用认证
Switch(config)# aaa accounting network test start-stop group radius
----配置身份认证方法
Switch(config)# aaa group server radius test
Switch(config-gs-radius)# server X.X.X.X ----指定记帐效劳器地址
Switch(config-gs-radius)# exit
Switch(config)# aaa authentication dot1x default group radius local
----配置dot1x认证方法5.3 QOS限速配置
提问：如何通过QOS实行限速？
答复：
步骤一：定义希望限速的主机范围
S3760>en
S3760#conf
S3760(config)#access-list 101 permit ip host 192.168.1.101 any
----定义要限速的IP
S3760(config)#access-list 102 permit ip host 192.168.1.102 any
----定义要限速的IP
步骤二：创立规那么类，应用之前定义的主机范围
S3760(config)#class-map xiansu101 ----创立class-map，名字为xiansu101 S3760(config-cmap)#match access-group 101 ----匹配IP地址
S3760(config-cmap)#exit
S3760(config)#class-map xiansu102 ----创立class-map，名字为xiansu102 S3760(config-cmap)#match access-group 102 ----匹配IP地址
S3760(config-cmap)#exit
5.4 IPsec配置
提问：如何在两台路由器之间启用IPsec？
答复：
R1路由器设置
步骤一：配置访问控制列表，定义需要IPsec保护的数据
R1(config)#access-list 101 permit ip host 1.1.1.1 host 1.1.1.2
步骤二：定义平安联盟和密钥交换策略
R1(config)#crypto isakmp policy 1
R1(isakmp-policy)#authentication pre-share ----认证方式为预共享密钥R1(isakmp-policy)#hash md5 ----采用MD5的HASH算法
步骤三：配置预共享密钥为dixy，对端路由器地址为
R1(config)#crypto isakmp key 0 dixy address 1.1.1.2
5.5 GRE配置
提问：如何在两台路由器之间启用GRE？
答复：
NBR(config)#interface Tunnel0
NBR(config-if)#ip address 1.1.1.1 255.255.255.0
NBR (config-if)#tunnel mode gre ip
NBR (config-if)#tunnel source 10.1.1.1
NBR (config-if)#tunnel destination 10.1.1.2
5.6 PPTP配置
提问：如何在路由器上配置PPTP？
答复：
步骤一：配置VPN相关参数
R1762#conf
R1762(config)#vpdn enable
R1762(config)#vpdn-group pptp----创立一个VPDN组，命名为pptp R1762(config-vpdn)#accept-dialin ----允许拨号
R1762(config-vpdn-acc-in)#protocol pptp ----协议为PPTP
R1762(config-vpdn-acc-in)#virtual-template 1 ----引用虚模板1
步骤二：配置用户和地址池
R1762(config)#username test password 0 test
----创立一个账户，用户和密码都是test
R1762(config)#ip local pool vpn 192.168.1.100 192.168.1.110
----创立vpn拨入的地址池，命名为vpn，范围是192.168.1.100-110
5.7 路由器L2TP配置
提问：如何在两台路由器之间构建L2TP？
答复：
步骤一：SERVER端路由器配置VPN相关参数
R1762#conf
R1762(config)#vpdn enable
R1762(config)#vpdn-group l2tp----创立一个VPDN组，命名为l2tp R1762(config-vpdn)#accept-dialin ----允许拨号
R1762(config-vpdn-acc-in)#protocol l2tp ----协议为l2tp
R1762(config-vpdn-acc-in)#virtual-template 1 ----引用虚模板1
步骤二：SERVER端路由器配置用户和地址池
R1762(config)#username test password 0 test
----创立一个账户，用户和密码都是test
R1762(config)#ip local pool vpn 192.168.1.100 192.168.1.110
----创立vpn拨入的地址池，命名为vpn，范围是192.168.1.100-110
5.8 路由器NAT配置
提问：如何设置NAT？
答复：
NBR(config)#access-list 10 permit 192.168.10.0 0.0.0.255
----设置允许NAT的地址范围NBR(config)#interface FastEthernet 1/0
NBR(config-if)#ip nat outside ----定义外网接口
NBR(config)#interface FastEthernet 0/0
NBR(config-if)#ip nat inside ----定义内网接口
NBR(config)#ip nat pool defult prefix-length 24
----创立一个地址池，命名为defult
NBR(config-ipnat-pool)#address 208.10.34.2 208.10.34.7 match interface FastEthe rnet 1/0 ----公网地址范围为到
NBR(config)#ip nat inside source list 10 pool test overload ----应用地址池6.1 默认路由配置
提问：如何在设备上配置默认路由？
答复：
Ruijie#configure terminal
Ruijie (config)#ip route 0.0.0.0 0.0.0.0 fastEthernet 0/0 10.0.0.1
----路由下一跳接口为fa0/0，下一跳网关为10.0.0.1 6.2 静态路由配置
提问：如何在设备上配置静态路由？
答复：
Ruijie#configure terminal
Ruijie (config)#ip route 192.168.1.0 255.255.255.0 fastEthernet 0/0 10.0.0.1 ----去往网段的路由，下一跳接口为fa0/0，下一跳网关为10.0.0.1
6.3 浮动路由配置
提问：如何在设备上配置浮动路由？
答复：
Ruijie#configure terminal
Ruijie (config)#ip route 0.0.0.0 0.0.0.0 fastEthernet 0/0 10.0.0.1
Ruijie (config)#ip route 0.0.0.0 0.0.0.0 fastEthernet 1/0 20.0.0.1 90
----当fa0/0出现问题后，所有路由由接口fa1/0，送往网关20.0.0.1
6.4 策略路由配置
提问：希望局部IP走A线路，另一局部IP走B线路？
答复：
步骤一：配置匹配源的ACL
Ruijie#configure terminal
Ruijie (config)#access-list 1 permit 192.168.1.0 0.0.0.255 ----配置地址列表Ruijie (config)#access-list 2 permit 192.168.2.0 0.0.0.255 ----配置地址列表步骤二:配置route-map
Ruijie(config)#route-map test permit 10 ----创立路由映射规那么
Ruijie(config-route-map)#match ip address 1 ----符合地址列表1
Ruijie(config-route-map)#set ip next-hop 1.1.1.1 ----执行动作是送往
Ruijie(config-route-map)#exit
Ruijie(config)#route-map test permit 20
Ruijie(config-route-map)#match ip address 2 ----符合地址列表2
Ruijie(config-route-map)#set ip next-hop 2.2.2.1 ----执行动作是送往2.2.2.1 Ruijie(config-route-map)#exit
步骤三：在接口上应用route-map
Ruijie config)#interface GigabitEthernet 0/0 ----进入设备内网口
Ruijie(config-if)#ip address 192.168.1.1 255.255.255.0 --配置各个网段的ip地址Ruijie(config-if)#ip address 192.168.2.1 255.255.255.0 secondary
Ruijie(config-if)#ip policy route-map test ----应用之前定义的路由映射Ruijie(config-if)#exit
注释：缺省情况下route map的最后一句都是deny all，这样不符合route map规那么的数据包都会按照正常的路由表进展转发。

6.5 OSPF配置
提问：在设备上启用OSPF功能？
答复：
Ruijie#configure terminal
Ruijie(config)# router ospf 1 ----OSPF进程号为1，本地有效
Ruijie(config-router)#network 0.0.0.0 255.255.255.255 area 0
----该设备上所有IP地址都参与到该OSPF进程中，进入area 0 Ruijie(config-router)#exit
Ruijie(config)#end
注释：这里OSPF 的进程号是本地使用，不需要像 EIGRP 一样整个网络保持一致。

6.6 OSPF中router ID配置
提问：如何手工配置router ID？
答复：
Ruijie(config)# router ospf 1
Ruijie(config-router)#Router-id 100.100.100.100
Change router-id and update OSPF process! [yes/no]:y
注释：设备缺省会用使用最大IP地址的环回口地址为RID，假如没有环回口那么启用最大IP地址的物理口作为Router ID。

手工配置的Router ID命令后面的 IP地址可以随意，不需要必须是存在的地址。

另外 Router ID一旦定下来以后，即使重新修改了接口地址也不会使其变更，必须通过clear ip ospf process 的方式或者reload 的方式来改变。