锐捷交换机路由器配置教程

锐捷交换机路由器配置教程

目 录

第一章：设备配置和文件管理 .......... .....4

1.1 通过 TELNET 方式来配置设备 ... ....4

1.2 更改 IOS 命令的等级 ..................4

1.3 设备时钟设置 .............................5

第二章：交换机基础配置 ............... ...5

2.1 交换机 vlan 和 trunk 的置 ..... .5

2.2 turnk 接口修剪配置 ........................6

2.3 PVLAN 配置 ............... ...7

2.4 端口汇聚配置 .... ..8

2.5 生成树配置 ..... .......9

2.6 端口镜像配置 ..... .....9

1/50

第三章：交换机防止 ARP 欺骗置 .. ......10

3.1 交换机地址绑定（ address-bind ）功能 ....10

3.2 交换机端口安全功能 ..................10

3.3 交换机 arp-check 功能 .... ..11

3.4 交换机ARP动态检测功能(DAI)........ ....11

第四章：访问控制列表配置（ACL）.... ....... ..12

4.1 标准ACL配置..............................12

4.2 扩展ACL配置..............................13

4.3 VLAN之间的ACL配置............... ...... .13

4.4 单向ACL的配置............................15

第五章：应用协议配置..........................16

5.1 DHCP服务配置......................... ....16

5.2 交换机dot1x认证配置......................18

2/50

5.3 QOS限速配置............... ...............19

5.4 IPsec配置.............. ..................20

5.5 GRE配置................ ............... ..22

5.6 PPTP 配置 ................................22

5.7 路由器L2TP配置...........................23

5.8 路由器 NAT 配置 .........................24

第六章：路由协议配置 .........................25

6.1 默认路由配置..............................25

6.2 静态路由配置..............................25

6.3 浮动路由配置..............................25

6.4 策略路由配置 ............................25

6.5 OSPF 配置............ ...................26

6.6 OSPF 中 router ID 配置....................27

3/50

第一章：设备配置和文件管理

1.1 通过 TELNET 方式来配置设备

提问：如何通过 telnet 方式来配置设备？ 回答：

步骤一：配置 VLAN1 的 IP 地址

S5750>en ---- 进入模式

S5750#conf ---- 进入全局配置模式

S5750(config)#int vlan 1 ---- 进入 vlan 1 接口

S5750(config-if)#ip address 192.168.0.230 255.255.255.0

- 为 vlan 1 接口上设置管理 ip

S5750(config-if)#exit ----退回到全局配置模式

步骤二：配置telnet密码

S5750(config)#line vty 0 4 ----进入telnet密码配置模式

S5750(config-line)#login ---启用需输入密码才能telnet成功

4/50

S5750(config-line)#password rscstar ---将telnet密码设置为rscstar

S5750(config-line)#exit ---回到全局配置模式

S5750(config)#enable secret 0 rscstar -配置进入模式的密码为rscstar

步骤三：开启SSH服务（可选操作）

S5750(config)#enable service ssh-server ---开启ssh服务

S5750(config)#ip ssh version 2 -启用ssh version 2

S5750(config)#exit -- 回到模式

S5750#wri -保存配置

1.2 更改 IOS 命令的等级

提问：如何只允许dixy这个用户使用与ARP相关的命令？ 回答：

S5750(config)#username dixy password dixy - 设置 dixy 用户名和密码

S5750(config)#username dixy privilege 10 --dixy 帐户的权限为 10

S5750(config)#privilege exec level 10 show arp

5/50

- 权限 10 可以使用 show arp 命令

S5750(config)#privilege config all level 10 arp

-- 权限 10 可以使用所有 arp 打头的命令

S5750(config)#line vty 0 4 ---- 配置 telnet 登陆用户

S5750(config-line)#no password

S5750(config-line)#login local

注释： 15 级密码为 enable 密码，无法更改， 0 级密码只能支持 disable enable ， exit和 help ， 1 级密码无法进行配置。

1.3 设备时钟设置

提问：如何设置设备时钟？ 回答：

S5750#clock set 12:45:55 11 25 2008

- ---设置时间为2008年11月25日12点45分55秒

S5750#clock update-calendar ---设置日历更新

6/50

，

S5750(config)#clock timezone CN 8 22 -时间名字为中国，东8区22分

第二章：交换机基础配置

2.1 交换机vlan和trunk的配置

提问：如何在交换机上划分 vlan ，配置 trunk 接口？ 回答：

步骤一：给交换机配置IP地址

S2724G#conf

S2724G(config)#int vlan 1

S2724G(config-if)#ip addess 192.168.0.100 255.255.255.0 -

- 给 VLAN 1 配置 IP 地址

S2724G(config-if)#no shutdown - 激活该 VLAN 接口

S2724G(config-if)#exit

S2724G(config)#ip default-gateway 192.168.0.1 - 指定交换机的网关地址

步骤二：创建 VLAN

7/50

S2724G#conf

S2724G(config)#vlan 10 --- 创建 VLAN 10

S2724G(config-vlan)#exit

S2724G(config)# vlan 20 S2724G(config-vlan)#exit

步骤三：把相应接口指定到相应的 VLAN 中S2724G(config)#int gi 0/10

S2724G(config-if)#switch access vlan 10

-把交换机的第10端口划到VLAN 10中

S2724G(config-if)#exit

S2724G(config)#int gi 0/20

S2724G(config-if)#switch access vlan 20

-把交换机的第20端口划到VLAN 20中

--- 创建 VLAN 20

8/50

S2724G(config-if)#exit

S2724G(config)#int gi 0/24

S2724G(config-if)#switch mode trunk--设置24口为Trunk模式（与三层交换机的连接口

S2724G(config-if)#

步骤四：保存配置

S2724G(config-if)#end

S2724G#write

2.2 turnk接口修剪配置

提问：如何让 trunk 接口只允许部分 vlan 通过？回答：

Switch(config)#int fa 0/24

Switch (config-if)#switch mode trunk

Switch (config-if)#switchport trunk allowed vlan remove 10,20,30-40

-- 不允许 VLAN10,20,30-40 通过 Trunk 口

9/50

2.3 PVLAN 配置

提问：如何实现几组用户之间的隔离，但同时又都能访问公用服务？ 回答：

步骤一：创建隔离 VLAN

S2724G#conf

S2724G(config)#vlan 3 ----创建VLAN3

S2724G(config-vlan)#private-vlan community --将VLAN3设为隔离VLAN

S2724G(config)#vlan 4 -创建VLAN4

S2724G(config-vlan)#private-vlan community --将VLAN4设为隔离VLAN

S2724G(config-vlan)#exit --退回到模式

步骤二：创建主VLAN

S2724G(config)#vlan 2 -进入VLAN2

S2724G(config-vlan)#private-vlan primary --VLAN2为主VLAN

步骤三：将隔离 VLAN 加到到主 VLAN 中

10/50

VLANS2724G(config-vlan)#private-vlan association add 3-4

-- 将 VLAN3 和 VLAN4 加入到公用 VLAN 中， VLAN3 和 VLAN4 的用户可以访问公用接

口

步骤四：将实际的物理接口与VLAN相对应

S2724G(config)#interface GigabitEthernet 0/1

-- --进入接口1，该接口连接服务器或者上联设备

S2724G(config-if)#switchport mode private-vlan promiscuous

-- -- 接口模式为混杂模式

S2724G(config-if)#switchport private-vlan mapping 2 add 3-4

- -- 将 VLAN3 和 VLAN4 映射到 VLAN2 上

S2724G(config)#int gi 0/10 -- 进入接口 10

S2724G(config-if)#switchport mode private-vlan host

S2724G(config-if)#switchport private-vlan host-association 2 3

11/50

-- -- 该接口划分入 VLAN3

S2724G(config)#int gi 0/20 -- 进入接口 20

S2724G(config-if)#switchport mode private-vlan host

S2724G(config-if)#switchport private-vlan host-association 2 4

- --- 该接口划分入 VLAN4

步骤五：完成 VLAN 的映射

S2724G(config)#int vlan 2 -进入VLAN2的SVI接口

S2724G(config-if)#ip address 192.168.2.1 255.255.255.0

- ---配置VLAN2的ip地址

S2724G(config-if)#private-vlan mapping add 3-4

-- - -将VLAN3和VLAN4加入到VLAN2中

注释：

1. S20、S21不支持私有VLAN，可以通过保护端口实现类似功能

12/50

2. S3250、S3750和S5750同时支持保护端口和私有VLAN

3. S3760不支持私有VLAN和保护端口

2.4 端口汇聚配置

提问：如何将交换机的端口捆绑起来使用？ 回答：

S5750#conf

S5750(config)#interface range gigabitEthernet 0/1 4

- 同时进入 1 到 4 号接口

S5750(config-if)#port-group 1 --设置为聚合口1

S5750(config)#interface aggregateport 1 --进入聚合端口1

注意：配置为AP口的接口将丢失之前所有的属性，以后关于接口的操作只能在AP1口上面进行

2.5 生成树配置

提问：如何配置交换机的生成树？ 回答：

步骤一：根桥的设置

13/50

switch_A#conf t

switch_A(config)#spanning-tree --- 默认模式为 MSTP

switch_A(config)#spanning-tree mst configuration

switch_A(config)#spanning-tree mst 10 priority 4096 - 设置为根桥

步骤二：非根桥的设置

switch_B#conf t

switch_B(config)#spanning-tree -默认模式为MSTP

switch_B(config)#spanning-tree mst configuration

switch_B(config)#int f0/1 --PC的接入端口

switch_B(config)#spanning-tree bpduguard enable

switch_B(config)#spanning-tree portfast

2.6 端口镜像配置

提问：如何配置交换机的端口镜像？ 回答：

14/50

switch#conf t

switch#(config)#

switch (config)# monitor session 1 source interface gigabitEthernet 3/1 both --- 监控源口为 g3/1

switch (config)# monitor session 1 destination interface gigabitEthernet 3/8 --- 监控目的口为 g3/8 ，并开启交换功能

注意： S2026 交换机镜像目的端口无法当做普通接口使用

第三章：交换机防止 ARP 欺骗配置

3.1 交换机地址绑定（ address-bind ）功能

提问：如何对用户 ip+mac 进行两元素绑定？ 回答：

S5750#conf

S5750(config)# address-bind 192.168.0.101 0016.d390.6cc5

---- 绑定 ip 地址为 192.168.0.101 MAC 地址为 0016.d390.6cc5 的主机让其使用网络 S5750(config)# address-bind uplink GigabitEthernet 0/1

15/50

switch

---- 将 g0/1 口设置为上联口，也就是交换机通过 g0/1 的接口连接到路由器或是出口设备，

如果接口选择错误会导致整网不通

S5750(config)# address-bind install ----使能address-bind功能

S5750(config)#end ----退回模式

S5750# wr ---保存配置

注释：

1. 如果修改ip或是MAC地址该主机则无法使用网络，可以按照此命令添加多条，添加的条数跟交换机的硬件资源有关

2. S21交换机的address-bind功能是防止Ip冲突，只有在交换机上绑定的才进行ip和MAC的匹配，如果下边用户设置的ip地址在交换机中没绑定，交换机不对该数据包做控制，直接转发。

3.2 交换机端口安全功能

提问：如何对用户ip+mac+接口进行三元素绑定？ 回答：

S5750#conf

S5750(config)# int g0/23

16/50

---- 进入第 23 接口，准备在该接口绑定用户的 MAC 和 ip 地址

S5750(config-if)# switchport port-security mac-address 0016.d390.6cc5

ip-address 192.168.0.101

---- 在 23 端口下绑定 ip 地址是 192.168.0.101 MAC 地址是 0016.d390.6cc5 的主机，确保该主机可以正常使用网络，如果该主机修改 ip 或者 MAC 地址则无法使用网络，可以添加多条来实现对接入主机的控制

S5750(config-if)# switchport port-security ---- 开启端口安全功能

S5750(config)#end ---- 退会模式

S5750# wr -- 保存配置

注释：可以通过在接口下设置最大的安全地址个数从而来控制控制该接口下可使用的主机数，安全地址的个数跟交换机的硬件资源有关

3.3 交换机 arp-check 功能

提问：如何防止错误的arp信息在网络里传播？ 回答：

S5750#conf

S5750(config)# int g0/23

17/50

----进入第23接口，准备在该接口绑定用户的MAC和ip地址

S5750(config-if)# switchport port-security mac-address 0016.d390.6cc5

ip-address 192.168.0.101 ----ip+mac绑定信息

S5750(config-if)# switchport port-security ---开启端口安全功能

S5750(config-if)# switchport port-security arp-check

- 开启端 arp 检查功能

S5750(config)#end -- 退会模式

S5750# wr - 保存配置

注释：开启 arp-check 功能后安全地址数减少一半，具体情况请查阅交换机配置指南

3.4 交换机ARP动态检测功能(DAI)

提问：如何在动态环境下防止ARP欺骗？ 回答：

步骤一： 配置 DHCP snooping

S3760#con t

18/50

S3760(config)#ip dhcp snooping ---- 开启 dhcp snooping

S3760(config)#int f 0/1

S3760(config-if)#ip dhcp snooping trust - 设置上连口为信任端口（注意：

缺省所有端口都是不信任端口） , 只有此接口连接的服务器发出的 DHCP 响应报文才能够被转发 .

S3760(config-if)#exit

S3760(config)#int f 0/2

S3760(config-if)# ip dhcp snooping address-bind

---- 配置 DHCP snooping 的地址绑定功能

S3760(config-if)#exit

S3760(config)#int f 0/3

S3760(config-if)# ip dhcp snooping address-bind

----配置DHCP snooping的地址绑定功能

步骤二： 配置DAI

19/50

S3760(config)# ip arp inspection ---启用全局的DAI

S3760(config)# ip arp inspection vlan 2 -启用vlan2的DAI报文检查功能

S3760(config)# ip arp inspection vlan 3 -启用vlan3的DAI报文检查功能

第四章：访问控制列表配置（ ACL ）

4.1 标准 ACL 配置

提问：如何只允许端口下的用户只能访问特定的服务器网段？ 回答：

步骤一：定义 ACL

S5750#conf t --进入全局配置模式

S5750(config)#ip access-list standard 1 --定义标准ACL

S5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255

---- 允许访问服务器资源

S5750(config-std-nacl)#deny any --拒绝访问其他任何资源

S5750(config-std-nacl)#exit -- 退出标准 ACL 配置模式

20/50

步骤二：将 ACL 应用到接口上

S5750(config)#interface GigabitEthernet 0/1 -- 进入所需应用的端口

S5750(config-if)#ip access-group 1 in - 将标准 ACL 应用到端口 in 方向

注释：

1. S1900 系列、 S20 系列交换机不支持基于硬件的 ACL 。

2. 实际配置时需注意，在交换机每个 ACL 末尾都隐含着一条“拒绝所有数据流”的语句。

3. 以上所有配置，均以锐捷网络 S5750-24GT/12SFP 软件版本 10.2 （ 2 ）为例。

其他说明，其详见各产品的配置手册《访问控制列表配置》一节。

4.2 扩展 ACL 配置

提问：如何禁止用户访问单个网页服务器？ 回答：

步骤一：定义ACL

S5750#conf t ---进入全局配置模式

S5750(config)#ip access-list extended 100 --创建扩展ACL

21/50

S5750(config-ext-nacl)#deny tcp any host 192.168.1.254 eq www

----禁止访问web服务器

S5750(config-ext-nacl)#deny tcp any any eq 135 -预防冲击波病毒

S5750(config-ext-nacl)#deny tcp any any eq 445 S5750(config-ext-nacl)#permit ip any any -允许访问其他任何资源

S5750(config-ext-nacl)#exit -退出ACL配置模式

步骤二：将ACL应用到接口上

S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口

S5750(config-if)#ip access-group 100 in -- 将扩展 ACL 应用到端口下

4.3 VLAN 之间的 ACL 配置

提问：如何禁止VLAN间互相访问？

回答：

步骤一：创建 vlan10 、 vlan20 、 vlan30

22/50

预防震荡波病毒 ----

S5750#conf -- 进入全局配置模式

S5750(config)#vlan 10 -- 创建 VLAN10

S5750(config-vlan)#exit --- 退出 VLAN 配置模式

S5750(config)#vlan 20 -- 创建 VLAN20

S5750(config-vlan)#exit -- 退出 VLAN 配置模式

S5750(config)#vlan 30 -- 创建 VLAN30

S5750(config-vlan)#exit -- 退出 VLAN 配置模式

步骤二：将端口加入各自 vlan

S5750(config)# interface range gigabitEthernet 0/1-5

---- 进入 gigabitEthernet 0/1-5 号端口

S5750(config-if-range)#switchport access vlan 10

----将端口加划分进vlan10

S5750(config-if-range)#exit ---退出端口配置模式

23/50

S5750(config)# interface range gigabitEthernet 0/6-10

----进入gigabitEthernet 0/6-10号端口

S5750(config-if-range)#switchport access vlan 20

----将端口加划分进vlan20

S5750(config-if-range)#exit ---退出端口配置模式

S5750(config)# interface range gigabitEthernet 0/11-15

---- 进入 gigabitEthernet 0/11-15 号端口

S5750(config-if-range)#switchport access vlan 30 --将端口加划分进vlan30

S5750(config-if-range)#exit --退出端口配置模式

步骤三：配置vlan10、vlan20、vlan30的网关IP地址

S5750(config)#interface vlan 10 --创建vlan10的SVI接口

S5750(config-if)#ip address 192.168.10.1 255.255.255.0

-- 配置VLAN10 的网关

24/50

S5750(config-if)#exit --退出端口配置模式

S5750(config)#interface vlan 20 ---创建vlan10的SVI接口

S5750(config-if)#ip address 192.168.20.1 255.255.255.0

---- 配置 VLAN10 的网关

S5750(config-if)#exit --- 退出端口配置模式

S5750(config)#interface vlan 30 -- 创建 vlan10 的 SVI 接口

S5750(config-if)#ip address 192.168.30.1 255.255.255.0

---- 配置 VLAN10 的网关

S5750(config-if)#exit ---- 退出端口配置模式

步骤四：创建 ACL ，使 vlan20 能访问 vlan10 ，而 vlan30 不能访问 vlan10

S5750(config)#ip access-list extended deny30 ---- 定义扩展 ACL

S5750(config-ext-nacl)#deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 vlan30 的用户访问 vlan10 资源

S5750(config-ext-nacl)#permit ip any any

25/50

拒绝 ----

----允许vlan30的用户访问其他任何资源

S5750(config-ext-nacl)#exit ---退出扩展ACL配置模式

步骤五：将ACL应用到vlan30的SVI口in方向

S5750(config)#interface vlan 30 --创建vlan30的SVI接口

S5750(config-if)#ip access-group deny30 in

----将扩展ACL应用到vlan30的SVI接口下

4.4 单向ACL的配置

提问：如何实现主机A可以访问主机B的FTP资源，但主机B无法访问主机A的FTP资源？？步骤一：定义 ACL

S5750#conf t ---进入全局配置模式

S5750(config)#ip access-list extended 100 --定义扩展ACL

S5750(config-ext-nacl)#deny tcp any host 192.168.1.254 match-all syn

---- 禁止主动向 A 主机发起 TCP 连接

26/50

回答：

S5750(config-ext-nacl)#permit ip any any --- 允许访问其他任何资源

S5750(config-ext-nacl)#exit -- 退出扩展 ACL 配置模式

步骤二：将 ACL 应用到接口上

S5750(config)#interface GigabitEthernet 0/1 -- 进入连接 B 主机的端口

S5750(config-if)#ip access-group 100 in - 将扩展 ACL 应用到端口下

S5750(config-if)#end --- 退回模式

S5750#wr ---- 保存

注释：单向 ACL 只能对应于 TCP 协议，使用 PING 无法对该功能进行检测。

第五章：应用协议配置

5.1 DHCP 服务配置

提问：如何在设备上开启DHCP服务，让不同VLAN下的电脑获得相应的IP地址？

回答：

步骤一：配置VLAN网关IP地址，及将相关端口划入相应的VLAN中

27/50

S3760#con t

S3760(config)#vlan 2 --创建VLAN2

S3760(config-vlan)#exit --退回到全局配置模式下

S3760(config)#vlan 3 -创建VLAN3

S3760(config-vlan)#exit --退回到全局配置模式下

S3760(config)#int vlan 2 --进入配置VLAN2

S3760(config-if)#ip add 192.168.2.1 255.255.255.0 --设置VLAN2的IP地址

S3760(config-if)#exit ---退回到全局配置模式下

S3760(config)#int vlan 3 ----进入配置VLAN3

S3760(config-if)#ip add 192.168.3.1 255.255.255.0 - 设置 VLAN3 的 IP 地址

S3760(config-if)#exit --- 退回到全局配置模式下

S3760(config)#int f 0/2 --进入接口f0/2

S3760(config-if)#switchport access vlan 2 -- 设置 f0/2 口属于 VLAN2

28/50

S3760(config-if)#exit

S3760(config)#int f 0/3 --- 进入接口 f0/3

S3760(config-if)#switchport access vlan 3 -- 设置 f0/3 口属于 VLAN3

S3760(config-if)#exit

步骤二：配置 DHCP server

S3760 (config)#service dhcp -- 开启 dhcp server 功能

S3760 (config)#ip dhcp ping packets 1

--- 在 dhcp server 分配 IP 时会先去检测将要分配的 IP 地址是否已有人使用，如果没人使用则分配，若已有人使用则再分配下一个 IP

S3760 (config)#ip dhcp excluded-address 192.168.2.1 192.168.2.10

--- 设置排斥地址为 192.168.2.1 至 192.168.2.10 的 ip 地址不分配给客户端（可选配置）

S3760 (config)#ip dhcp excluded-address 192.168.3.1 192.168.3.10

--设置排斥地址为192.168.3.1至192.168.3.10的ip地址不分配给客户端（可选配置）

S3760 (config)#ip dhcp pool test2 ---新建一个dhcp地址池名为test2

29/50

S3760 (dhcp-config)# lease infinite---租期时间设置为永久

S3760 (dhcp-config)# network 192.168.2.0 255.255.255.0

----给客户端分配的地址段

S3760 (dhcp-config)# dns-server 202.101.115.55 ---给客户端分配的DNS

S3760(dhcp-config)# default-router 192.168.2.1 --客户端的网关

S3760(dhcp-config)#exit

S3760(config)#ip dhcp pool test3 -- 新建一个 dhcp 地址池名为 test3

S3760(dhcp-config)# lease infinite ---租期时间设置为永久

S3760(dhcp-config)# network 192.168.3.0 255.255.255.0

S3760(dhcp-config)# dns-server 202.101.115.55

S3760(dhcp-config)# default-router 192.168.3.1

S3760(dhcp-config)#end

S3760#wr

30/50

5.2 交换机 dot1x 认证配置

提问：如何在交换机上开启 dot1x 认证？

回答：

步骤一：基本 AAA 配置

Switch#conf

Switch(config)# aaa new-model Switch(config)# aaa accounting network test start-stop group radius ---- 配置身份认证方法

Switch(config)# aaa group server radius test

Switch(config-gs-radius)# server X.X.X.X -- 指定记帐服务器地址

Switch(config-gs-radius)# exit

Switch(config)# aaa authentication dot1x default group radius local ----配置dot1x认证方法

31/50

---- 启用认证

Switch(config)# radius-server host X.X.X.X -指定认证服务器地址

Switch(config)# radius-server key 0 password --指定radius共享口令

Switch(config)# dot1x accounting test --开启计帐功能

Switch(config)# dot1x authentication default -开启认证功能

Switch(config)# snmp-server community ruijie rw -指定SNMP共同体字段

Switch(config)# interface range fastethernet 0/1-24 同时进1-24号接口

Switch(config-if-range)# dot1x port-control auto -指定受控端口

Switch(config-if-range)# exit -退出接口模式

步骤二：配置客户端探测功能

Switch(config)# aaa accounting update --启用计帐更新

Switch(config)# aaa accounting update periodic 5

---- 指定计帐更新间隔为 5 分钟

Switch(config)# dot1x client-probe enable -- 启用客户端在线探测功能

32/50

Switch(config)# dot1x probe-timer interval 20 - 指定探测周期为 20 秒

Switch(config)# dot1x probe-timer alive 60 指定探测存活时间为 60

秒

步骤三： 配置记账更新功能

Switch(config)# dot1x timeout quiet-period 5 -- 指定认证失败等待时间

Switch(config)# dot1x timeout tx-period 3

---- 指定交换机重传 Identity Requests 报文时间

Switch(config)# dot1x max-req 3

---- 指定交换机重传 Identity Requests 报文的最大次数

Switch(config)# dot1x reauth-max 3

---- 指定认证失败后交换机发起的重认证的最大次数

Switch(config)# dot1x timeout server-timeout 5

---- 指定认证服务器的响应超时时间

33/50

Switch(config)# dot1x timeout supp-timeout 3

---- 指定认证客户端的响应超时时间

Switch(config)# dot1x private-supplicant-only -过滤非锐捷客户端

Switch(config)# exit --退出配置模式

5.3 QOS限速配置

提问：如何通过QOS实行限速？

回答：

步骤一：定义希望限速的主机范围

S3760>en

S3760#conf

S3760(config)#access-list 101 permit ip host 192.168.1.101 any

---- 定义要限速的 IP

S3760(config)#access-list 102 permit ip host 192.168.1.102 any

34/50

----定义要限速的IP

步骤二：创建规则类，应用之前定义的主机范围

S3760(config)#class-map xiansu101 --创建class-map，名字为xiansu101

S3760(config-cmap)#match access-group 101 --匹配IP地址

S3760(config-cmap)#exit

S3760(config)#class-map xiansu102 创建 class-map ，名字为 xiansu102

S3760(config-cmap)#match access-group 102 --匹配 IP 地址

S3760(config-cmap)#exit

步骤三：创建策略类：应用之前定义的规则，配置限速大小

S3760(config)#policy-map xiansu -- 创建 policy-map ，名字为 xiansu

S3760(config-pmap)#class xiansu101 --- 符合 class xiansu101

S3760(config-pmap-c)#police 8000 512 exceed-action drop

---- 限速值为 8000Kbit-- 符合 class xiansu102

35/50

S3760(config-pmap-c)#police 4000 512 exceed-action drop

---- 限速值为 4000Kbit

S3760(config-pmap-c)#end

步骤四：进入接口，应用之前定义的策略

S3760#conf

S3760(config)#int fa 0/10 S3760(config-if)#service-policy input xiansu

----将该限速策略应用在这个接口上

注释：

1. 通过QOS只能上行流量

2. 推荐在S2924G，S3250和S3760上应用该功能

5.4 IPsec 配置

提问：如何在两台路由器之间启用 IPsec ？ 回答：

36/50

----进入接口

R1路由器设置

步骤一：配置访问控制列表，定义需要IPsec保护的数据

R1(config)#access-list 101 permit ip host 1.1.1.1 host 1.1.1.2

步骤二：定义安全联盟和密钥交换策略

R1(config)#crypto isakmp policy 1

R1(isakmp-policy)#authentication pre-share -- 认证方式为预共享密钥

R1(isakmp-policy)#hash md5 --- 采用 MD5 的 HASH 算法

步骤三：配置预共享密钥为 dixy ，对端路由器地址为 1.1.1.2

R1(config)#crypto isakmp key 0 dixy address 1.1.1.2

步骤四：定义 IPsec 的变换集，名字为 dixy

R1(config)#crypto ipsec transform-set dixy ah-md5-hmac esp-des

步骤五：配置加密映射，名字为 dixy

R1(config)#crypto map dixy 1 ipsec-isakmp

37/50

R1(config-crypto-map)#set transform-set dixy -- 应用之前定义的变换集

R1(config-crypto-map)#match address 101 -- 定义需要加密的数据流

R1(config-crypto-map)#set peer 1.1.1.2 --- 设置对端路由器地址

步骤六：在口上使用该加密映射

R1(config-if)#crypto map dixy

R1(config-if)#ip add 1.1.1.1 255.255.255.0

R2路由器设置

R2路由器的设置和R1几乎是相似，只用红色字体标注出不一样的地方。

R2(config)#access-list 101 permit ip host 1.1.1.2 host 1.1.1.1

R2(config)#crypto isakmp policy 1

R2(isakmp-policy)#authentication pre-share

R2(isakmp-policy)#hash md5

R2(config)#crypto isakmp key 0 dixy address 1.1.1.1

38/50

R2(config)#crypto ipsec transform-set dixy ah-md5-hmac esp-des

R2(config)#crypto map dixy 1 ipsec-isakmp

R2(config-crypto-map)

R2(config-if)#crypto map dixy

R2(config-if)#ip add 1.1.1.2 255.255.255.0

5.5 GRE 配置

提问：如何在两台路由器之间启用 GRE ？

回答：

NBR(config)#interface Tunnel0

NBR(config-if)#ip address 1.1.1.1 255.255.255.0

NBR (config-if)#tunnel mode gre ip

NBR (config-if)#tunnel source 10.1.1.1

NBR (config-if)#tunnel destination 10.1.1.2

39/50

5.6 PPTP 配置

提问：如何在路由器上配置PPTP？ 回答：

步骤一：配置VPN相关参数

R1762#conf

R1762(config)#vpdn enable

R1762(config)#vpdn-group pptp ---创建一个VPDN组，命名为pptp

R1762(config-vpdn)#accept-dialin ----允许拨号

R1762(config-vpdn-acc-in)#protocol pptp - 协议为 PPTP

R1762(config-vpdn-acc-in)#virtual-template 1 --- 引用虚模板 1

步骤二：配置用户和地址池

R1762(config)#username test password 0 test

----创建一个账户，用户和密码都是test

R1762(config)#ip local pool 192.168.1.100 192.168.1.110

40/50

----创建拨入的地址池，命名为，范围是192.168.1.100-110

步骤三：配置虚拟模板

R1762(config)#interface virtual-template 1 --创建虚模板1

R1762(config-if)#ppp authentication pap --加密方式为PAP

R1762(config-if)#ip unnumbered fastEthernet 1/0 - 关联内网接口

R1762(config-if)#peer default ip address pool - 引用地址范围

R1762(config-if)#ip nat inside -- 参与 NAT

5.7 路由器 L2TP 配置

提问：如何在两台路由器之间构建 L2TP ？ 回答：

步骤一： SERVER 端路由器配置 VPN 相关参数

R1762#conf

R1762(config)#vpdn enable

R1762(config)#vpdn-group l2tp --创建一个VPDN组，命名为l2tp

41/50

R1762(config-vpdn)#accept-dialin ---允许拨号

R1762(config-vpdn-acc-in)#protocol l2tp -协议为l2tp

R1762(config-vpdn-acc-in)#virtual-template 1 -引用虚模板1

步骤二：SERVER端路由器配置用户和地址池

R1762(config)#username test password 0 test

----创建一个账户，用户和密码都是test

R1762(config)#ip local pool 192.168.1.100 192.168.1.110

----创建拨入的地址池，命名为，范围是192.168.1.100-110

步骤三：SERVER端路由器配置虚拟模板

R1762(config)#interface virtual-template 1 --创建虚模板1

R1762(config-if)#ppp authentication chap -加密方式为CHAP

R1762(config-if)#ip unnumbered fastEthernet 1/0 --关联内网接口

R1762(config-if)#peer default ip address pool - 引用地址范围

42/50

R1762(config-if)#ip nat inside --- 参与 NAT

步骤四：Client端路由器VPN配置

R1762(config)#l2tp-class l2tp -创建拨号模板，命名为l2tp

R1762(config)#pseudowire-class -l2tp -- 创建虚线路，命名为 -l2tp

R1762(config-pw-class)#encapsulation l2tpv2 - 封装 l2tpv2 协议

R1762(config-pw-class)#protocol l2tpv2 l2tp

R1762(config-pw-class)#ip local interface 1/0 - 关联路由器接口

步骤五： Client 路由创建虚拟拨号口

R1762(config)#interface virtual-ppp 1 -- 创建虚拟 ppp 接口

R1762(config)#pseudowire 192.168.33.39 11 encapsulation l2tpv2 pw-class -l2tp ---L2TP 服务器路由器的地址

R1762(config)#ppp chap hostname test ---- 用户名

R1762(config)# ppp chap password 0 test ---- 密码

R1762(config)# ip mtu 1460

43/50

R1762(config)# ip address negotiate ----IP地址商议获取

R1762(config)# ip nat outside ----参与NAT

5.8 路由器NAT配置

提问：如何设置NAT？

回答：

NBR(config)#access-list 10 permit 192.168.10.0 0.0.0.255

---- 设置允许 NAT 的地址范围

NBR(config)#interface FastEthernet 1/0

NBR(config-if)#ip nat outside ---定义接口

NBR(config)#interface FastEthernet 0/0

NBR(config-if)#ip nat inside ----定义内网接口

NBR(config)#ip nat pool defult prefix-length 24

--创建一个地址池，命名为defult

44/50

NBR(config-ipnat-pool)#address 208.10.34.2 208.10.34.7 match interface

FastEthernet 1/0 ---公网地址范围为208.10.34.2到 208.10.34.7

NBR(config)#ip nat inside source list 10 pool test overload ---- 应用地址池

第六章：路由协议配置

———————————————————————————

6.1 默认路由配置

提问：如何在设备上配置默认路由？

回答：

Ruijie#configure terminal

Ruijie (config)#ip route 0.0.0.0 0.0.0.0 fastEthernet 0/0 10.0.0.1

---- 路由下一跳接口为 fa0/0 ，下一跳网关为 10.0.0.1

6.2 静态路由配置

提问：如何在设备上配置静态路由？

45/50

回答：

Ruijie#configure terminal

Ruijie (config)#ip route 192.168.1.0 255.255.255.0 fastEthernet 0/0 10.0.0.1

----去往192.168.1.0网段的路由，下一跳接口为fa0/0，下一跳网关为10.0.0.1

6.3 浮动路由配置

提问：如何在设备上配置浮动路由？

回答：

Ruijie#configure terminal

Ruijie (config)#ip route 0.0.0.0 0.0.0.0 fastEthernet 0/0 10.0.0.1

Ruijie (config)#ip route 0.0.0.0 0.0.0.0 fastEthernet 1/0 20.0.0.1 90

---- 当 fa0/0 出现问题后，所有路由由接口 fa1/0 ，送往网关 20.0.0.1

6.4 策略路由配置

提问：希望部分IP走A线路，另一部分IP走B线路？

46/50

回答：步骤一：配置匹配源的 ACL

Ruijie#configure terminal

Ruijie (config)#access-list 1 permit 192.168.1.0 0.0.0.255- 配置地址列表

Ruijie (config)#access-list 2 permit 192.168.2.0 0.0.0.255 - 配置地址列表

步骤二 : 配置 route-map

Ruijie(config)#route-map test permit 10 - 创建路由映射规则

Ruijie(config-route-map)#match ip address 1- 符合地址列表 1

Ruijie(config-route-map)#set ip next-hop 1.1.1.1 - 执行动作是送往 1.1.1.1

Ruijie(config-route-map)#exit

Ruijie(config)#route-map test permit 20

Ruijie(config-route-map)#match ip address 2 - 符合地址列表 2

Ruijie(config-route-map)#set ip next-hop 2.2.2.1 -执行动作是送往2.2.2.1

Ruijie(config-route-map)#exit

47/50

步骤三：在接口上应用route-map

Ruijie config)#interface GigabitEthernet 0/0 -进入设备内网口

Ruijie(config-if)#ip address 192.168.1.1 255.255.255.0-配置各个网段的ip地

Ruijie(config-if)#ip address 192.168.2.1 255.255.255.0 secondary

Ruijie(config-if)#ip policy route-map test --应用之前定义的路由映射

Ruijie(config-if)#exit

注释：缺省情况下 route map 的最后一句都是 deny all ，这样不符合 route map 规则的数据包都会按照正常的路由表进行转发。

6.5 OSPF 配置

提问：在设备上启用 OSPF 功能？

回答：

Ruijie#configure terminal

Ruijie(config)# router ospf 1 -OSPF 进程号为 1 ，本地有效

Ruijie(config-router)#network 0.0.0.0 255.255.255.255 area 0

48/50

----该设备上所有IP地址都参与到该OSPF进程中，进入area 0

Ruijie(config-router)#exit

Ruijie(config)#end

注释：这里 OSPF 的进程号是本地使用，不需要像 EIGRP 一样整个网络保持一致。 6.6 OSPF 中 router ID 配置

提问：如何手工配置 router ID ？

回答：

Ruijie(config)# router ospf 1

Ruijie(config-router)#Router-id 100.100.100.100

Change router-id and update OSPF process! [yes/no]:y

注释：设备缺省会用使用最大 IP 地址的环回口地址为 RID ，如果没有环回口则启用最大 地址的物理口作为Router ID。手工配置的Router ID命令后面的 IP地址可以随意，不需

要必须是存在的地址。另外 Router ID一旦定下来以后，即使重新修改了接口地址也不会

49/50

IP

使其变更，必须通过clear ip ospf process 的方式或者reload 的方式来改变。

50/50