锐捷交换机常用配置指南

《锐捷交换机常用配置指南》由会员分享，可在线阅读，更多相关《锐捷交换机常用配置指南（14页珍藏版）》请在装配图网上搜索。

1、1一、通过使用密码 telnet登陆设备 1二、 通过使用用户名和密码telnet登陆设备 2三、 通过 web界面来管理配置交换机 2四、修改设备时间 3五、交换机光电复用口的切换 3六、交换机关闭广播风暴 3七、交换机端口聚合经典案例 4八、交换机端口限速 4九、交换机 MAC地址绑定 5十、交换机端口安全典型案例 5十一、交换机 address-bind 7十二、交换机防止非法架设DHCP服务器 7十三、交换机防止 DHCP地址池被耗尽 8十四、交换机防止用户私自设置IP地址 8十五、交换机防网关 arp 欺骗 9锐捷交换机常用配置指南一、通过使用密码telnet登陆设备配置步骤：1、配

2、置管理地址Ruijiee nableRuijie#c on figure termi nalRuijie(c on fig)#i nterface vla n 1Ruijie(config -if)#ip address 192.168.33.180Ruijie(c onfig -if)#exit进入特权模式进入全局配置模式进入vlan 1接口255.255.255.0 为vlan 1接口上设置管理ip退回到全局配置模式2、配置tel net密码Ruijie(co nfig)#li ne vty 0 4 户同时tel net登入到交换机Ruijie(c onfig -li ne)#login进

3、入telnet密码配置模式，0 4表示允许共5个用启用需输入密码才能telnet成功Ruijie(c onfig -li ne)#password ruijieRuijie(c onfig -li ne)#exitRuijie(c on fig)# en able secretruijieRuijie(c on fig)#e ndRuijie#write二、通过使用用户名和密码将tel net密码设置为ruijie回到全局配置模式配置进入特权模式的密码为ruijie退出到特权模式确认配置正确，保存配置telnet登陆设备进入特权模式 进入全局配置模式进入vlan 1接口1、配置管理地址Ruij

4、iee nableRuijie#c on figure termi nal为vlan 1接口上设置管理ipRuijie(c on fig)#i nterface vla n 1Ruijie(config -if)#ip address 192.168.33.180 255.255.255.0Ruijie(co nfig -if)#exit退回到全局配置模式2、配置tel net密码配置用户名和密码进入tel net密码配置模式配置本地认证回到全局配置模式配置进入特权模式的密码为ruijie退出到特权模式确认配置正确，保存配置Ruijie(con fig)#username ruijie pas

5、sword ruijieRuijie(co nfig)#li ne vty 0 4Ruijie(c on fig-li ne)#logi n localRuijie(c onfig -li ne)#exitRuijie(c on fig)# en able secret ruijieRuijie(c on fig)#e ndRuijie#write三、通过web界面来管理配置交换机1、确认设备是否有web管理软件Ruijiee nableRuijie#dir查找是否有“web_management_pack.upd ”，如果没有请重新升级设备。支持新的 web 管理必须有 web_manage

6、ment_pack.upd ” 文件。2、配置管理地址,假设管理vlan为1,管理地址为192.168.33.180Ruijie#c on figure termi nalRuijie(config)#enable service web -server全局开启 web 功能Ruijie(c on fig)#i nterface vla n 1Ruijie(config -if)# ip add 192.168.33.180 255.255.255.0Ruijie(c onfig -if)#exitRuijie(config)#enable secret ruijie配置特权密码，也是登陆we

7、b的密码Ruijie(c on fig)#e ndRuijie#write确认配置正确，保存配置3、 在浏览器里输入:http:/192.168.33.180，就可以看到交换机的 WEB界面四、修改设备时间Ruijiee nableRuijie#clock set 10:00:00 12 1 2012clock set 小时：分:秒 月 日年Ruijie#c onf tRuijie(co nfig)#clock timezo ne beiji ng 8设置交换机的时区Ruijie(c on fig)#e ndRuijie#write五、交换机光电复用口的切换在设备命名中 SFP表示光接口， G

8、T表示电接口。例1： S5750-24GT/12SFP:12个独立电口， 12个光电复用接口，默认使用电口例2： S5750-24SFP/12GT:12个独立光口，12个光电复用接口，默认使用光口如果要调整接口的默认使用介质，必须使用命令进行切换。注意：配置之前建议使用Ruijie#show in terface status查看接口名称，常用接口名称有FastEthernet (百兆)、GigabitEthernet (千兆)和 TenGigabitEthernet(万兆),以下配置以千兆接 口为例。GigabitEthernet 0/24 使用电接口：Ruijiee nableRuijie

9、#c on figure termi nalRuijie(c on fig)# in terface gigabitEthernet 0/24Ruijie(config -if-GigabitEthernet 0/24)#medium -type copperRuijie(co nfig -if-GigabitEthernet 0/24)#e ndRuijie#writeGigabitEthernet 0/24 使用光接口：Ruijiee nableRuijie#c on figure termi nalRuijie(c on fig)# in terface gigabitEthernet

10、0/24Ruijie(config -if-GigabitEthernet 0/24)#medium -type fiberRuijie(co nfig -if-GigabitEthernet 0/24)#e ndRuijie#write交换机的光电复用口默认都是电口的，如果要用电口不需要设置。六、交换机关闭广播风暴当内网的突发流量后或流量很大时，交换机会对流量进行控制， 降低流量保证内网的数据通信流畅。但是在无盘环境里，无盘五服务器之间的数据传输量很大，所以在无盘环境里建议关闭风暴控制，保证无盘系统的正常通信。关闭风暴控制：Ruijiee nableRuijie#Ruijie#c on fi

11、gure termi naRuijie(c on fig)# in terface FastEther net0/1Ruijie(config-if-FastEthernet 0/1)#no storm -control unicast关闭针对单播数据的风暴控制Ruijie(config-if-FastEthernet 0/1)#no storm -control multicast关闭针对组播数据的风暴控制3Ruijie(config-if-FastEthernet)#no storm -control broadcast - 关闭针对广播播数据的风暴控制Ruijie(c on fig -i

12、f-FastEthernet)#e ndRuijie#write 保存配置七、交换机端口聚合经典案例一、组网需求：1、2、3接口，要求两台交换机SW1和SW2之间有三根线连接，分别接的是各自的 把三个接口做端口汇聚、组网拓扑:5#同时进入0/1，0/2和0/3接口配置划入到聚合组1确认配置正确，保存配置同时进入 0/1，0/2和0/3接口配置划入到聚合组1确认配置正确，保存配置三、配置要点:1、端口汇聚的成员属性必须一致，包括接口速率、双工等2、 二层端口只能加入二层AP,三层端口只能加入三层AP;包含成员口的AP 口不允许改变二层/三层属性。3、AP不能开启端口安全功能。4、端口聚合后，成员

13、接口不能单独再进行配置，只能在 AggregatePort配置(in terface aggregateport x/x)四、配置步骤：Switch A的配置：Ruijie#c on figure termi nalRuijie(c on fig)# in terface range gigabitEthernet 0/1-3Ruijie(c on fig -if-ra nge)#port -group 1Ruijie(c onfig -if-ra nge)#e nd Ruijie#writeSwitch B的配置：Ruijie#c on figure termi nalRuijie(c on

14、 fig)# in terface range gigabitEthernet 0/1-3Ruijie(c on fig -if-ra nge)#port -group 1Ruijie(c onfig -if-ra nge)#e nd Ruijie#write八、交换机端口限速、组网需求:实现基于端口的限速，限制上传速率在2M，下载速率在4M二、配置要点：进入接口模式下配置，是针对整个端口的流量进行限速，不能对接口下的某个ip地址进行限速，in put是上传速率，output是下载速率，猝发流量的值为 K burst bytes: 4,8,16,.,1024,2*1024,4*1024,.,1

15、6*1024，速率单位是 KBits, 8KBits=1KByte三、配置步骤：Ruijiee nable进入特权模式Ruijie#c on figure term inal进入全局配置模式Ruijie(con fig)# in terface fastEthernet 0/1Ruijie(co nfig-if-FastEthernet 0/1)#rate -limit in put 2000 512配置上传 2m，猝发流量 512KRuijie(config-if-FastEthernet 0/1)#rate -limit output 4000 512 配置下载 4m，猝发流量 512K

16、Ruijie(co nfig -if-FastEthernet 0/1)#e ndRuijie#write确认配置正确，保存配置四、验证命令：从FTP服务器下载文件测试速度，速度在467KB，符合需求。局域网两台电脑共享文件， 测试上传流量240KB左右。注意：设备配置中是4mBits ,，实际下载速率为 500KB九、交换机MAC地址绑定每一台电脑都有一个全球唯一的标识：mac地址。交换机是根据学习到的mac地址和交换机端口的关系表转发数据。MAC地址静态绑定可以减少交换机MAC地址的学习，因为配置了MAC静态绑定后，交换机就不再学习该MAC地址的信息了。通过MAC地址的静态绑定，可以让某个

17、终端(电脑、PDA或其他网络设备)只能接在交换机的固定接口下，如果接到这台交换机的其他接口将不能与洽谈设备通信。配置命令：Ruijiee nableRuijie#c on figure termi nalRuijie(config)#mac-address-table static 0001.1111.1111 vlan 1 int fastEthernet 0/1 把vlan1的0001.1111.1111绑定在交换机的f0/1接口，如果这个 mac地址接到交换机 的其他接口(如 fastEthernet 0/2 )就不能和其他设备通信Ruijie(c on fig)#e ndRuijie#

18、write确认配置正确，保存配置十、交换机端口安全典型案例一、组网要求：要求PC1只能接在交换机的 F0/1端口，其他的电脑不限制。要求F0/2端口只能接入 192.168.1.2且mac地址是0011.1111.1112的电脑。要求F0/3端口只能接入192.168.1.3的电脑，mac地址无要求。要求F0/4接口只能接入 PC4和PC5,其他电脑即 mac地址接入了也不能通信。PC2PCS133.14S12OTUUltmZPCX Q01111111114PC? D0U.11 IX. 1115伍 1&3.IJ、组网托普PCII9J 1.6S 1 10011.11111111三、配置要点:在配

19、置了端口安全的绑定条目，必须敲 switchport port -security后才能生效，类似功能 开关。一个MAC或IP只能被绑定在一个接口上。交换机端口启用端口安全后的处理机制：1从上往下（后配置的在上面）依次匹配，拒绝则继续往下，放行则跳出，同一个ip地址优先级：IP绑定IP+MAC绑定，同一个 mac地址优先级：如果有 ip+mac的绑定，mac绑定不生效。2查询mac地址表，在能学到的情况下放行，不启用ARP check的情况下，端口安全不对ARP报文生效四、配置步骤:1、要求PC1只能接在交换机的 F0/1端口，其他的电脑不限制端口安全不能实现该功能，建议使用mac-addre

20、s&table static命令实现。Ruijiee nableRuijie#c on figure termi nalRuijie(config)#mac-address-table static 0011.1111.1111 vlan 1 int fastEthernet 0/12、要求F0/2端口只能接入 192.168.1.2且 mac地址是0011.1111.1112的电脑Ruijiee nableRuijie#c on figure termi nalRuijie(c on fig)# in terface fastEthernet 0/2Ruijie(config-if-Fast

21、Ethernet0/2)#switchportport -security binding 0011.1111.1112 vlan 1192.168.1.2把属于vlan1 ，且mac地址是0011.1111.1112，ip地址192.168.1.2，绑定在交换机的第二个百兆接口上Ruijie(config-if-FastEthernet 0/2)#switchport port -security 开启端口安全功能Ruijie(co nfig-if-FastEthernet 0/2)#e nd 退出到特权模式Ruijie#write确认配置正确，保存配置3、要求F0/3端口要求只能接入ip地

22、址是192.168.1.3的电脑，mac地址无要求。即F0/3下的电脑ip地址只能成192.168.1.3Ruijiee nableRuijie#c on figure termi nalRuijie(config)#interfac fastEthernet 0/3Ruijie(co nfig-if-FastEthernet 0/3)# switchport port -security bin di ng 192.168.1.3 把ip地址是192.168.1.3 的终端定在交换机的第三个百兆接口Ruijie(config-if-FastEthernet 0/3)#switchport p

23、ort -security 开启端口安全功能Ruijie(co nfig -if-FastEthernet 0/3)#e ndRuijie#write确认配置正确，保存配置4、要求F0/4接口只能接入 PC4和PC5,其他电脑即 mac地址接入了也不能通信Ruijiee nableRuijie#c on figure termi nalRuijie(c on fig)# in terface fastEthernet 0/4Ruijie(config-if-FastEthernet 0/4)# switchport port -security mac-address 0011.1111.11

24、14 vlan 1把属于Ian1且mac地址是0011.1111.1114的终端绑定在交换机的第四个百兆接口Ruijie(config -if-FastEthernet 0/4)# switchport port -security mac-address 0011.1111.1115 vlan 1把属于Ian1且mac地址是0011.1111.1115的终端绑定在交换机的第四个百兆接口Ruijie(c on fig-if-FastEthernet 0/4)#switchport port -security maximum 2 默认 128Ruijie(config-if-FastEther

25、net 0/4)#switchport port -security 开启端口安全功能Ruijie(co nfig -if-FastEthernet 0/3)#e ndRuijie#write确认配置正确，保存配置十一、交换机 address-bind利用接入设备实现接入用户，只有绑定的ip+MAC才可以与外网通信，没有绑定的不能通信。Ruijiee nableRuijie#c on figure termi nalRuijie(config)#address-bind 192.168.1.1 0001.1111.1111 配置 IP 地址和 MAC 地址的绑定关系Ruijie(co nfig

26、)#address-bi nd uplink FastEthernet 0/24配置地址绑定的例外端口 (上联端口)Ruijie(co nfig)#address-bi nd in stall使 IP 和 MAC 地址绑定生效 Ruijie(co nfig)#e ndRuijie#write确认配置正确，保存配置十二、交换机防止非法架设DHCP服务器1、 在接入交换机上开启dhcp snooping功能Ruijiee nableRuijie#c on figure termi nalRuijie(config)#ip dhcp snooping 开启 DHCP snooping 功能2、连接D

27、HCP服务器的接口配置为可信任口Ruijie(co nfig)#i nt FastEthernet0/24Ruijie(config -FastEthernet 0/24)#ip dhcp snooping trust开启 DHCPsnooping的交换机所有接口缺省为untrust 口，交换机只转发从trust 口收到的DHCP卩向应报文(offer、ACK NAK)3、保存配置Ruijie(co nfig -FastEthernet 0/24)#e ndRuijie#write确认配置正确，保存配置十三、交换机防止DHCP地址池被耗尽防范接入用户电脑中毒，不断发出dhcp请求，把dhcp地

28、址池里的地址耗尽。全局配置 dhcp snooping。连接到dhcp服务器的端口配置信任口。全局配置 dhcp snooping ver mac -address。此功能必须配合dhcp snooping功能使用，即开此功能的前提是必须开启dhcp snooping功能。1、全局配置 dhcp snoopingRuijiee nableRuijie#c on figure termi nalRuijie(config)#ip dhcp snooping 开启 DHCP snooping功能2、连接DHCP服务器的接口配置为可信任口Ruijie(co nfig)#i nt FastEthern

29、etO/24Ruijie(c on fig -FastEther net 0/24)#ip dhcp snooping trust3、全局配置 dhcp snooping ver mac -addressRuijie(config)#ip dhcp snooping verify mac -address 开启防止地址耗尽攻击防护4、保存配置Ruijie(c on fig)#e nd Ruijie#write确认配置正确，保存配置十四、交换机防止用户私自设置IP地址1、 要求客户机只能通过DHCP获取地址上网，手动配置地址不允许上网。2、只允许192.168.1.2这台电脑手动配置地址上网11

30、#接入交换机全局开启dhcp snooping。接入交换机的上连口(即连接到 dhcp服务器的端口)配置信任口。除上连口外的其他端口配置source guard功能。此功能须配合 dhcp snooping功能使用，即开此功能的前提是必须开启dhcp snooping功能。1、在接入交换机上开启dhcp snooping功能Ruijiee nableRuijie#c on figure termi nalRuijie(config)#ip dhcp snooping 开启 DHCP snooping功能2、连接DHCP服务器的接口配置为可信任口Ruijie(co nfig)#i nt Fast

31、EthernetO/24Ruijie(co nfig-FastEthernet 0/24)#ip dhcp sn oop ing trust 确认配置正确，保存配置开启DHCP snooping的交换机所有接口缺省为untrust 口，交换机只转发从trust 口收到的DHCP响应报文(offer、ACK NAK)。3、 除上连口外的其他端口配置source guard功能Ruijie(co nfig)# in terface range FastEthernet 0/3 -24 进入交换机的第 324 个接口配置Ruijie(c on fig -if-ra nge)#ip verify so

32、urce port -security 开启防止用户手动设置ip 的功能4、配置允许配置静态地址Ruijie(co nfig)#ip source bi ndi ng 0027.1365.33db vla n 1 192.168.2.2 in terface FastEthernet 0/1 允许交换机第一百兆接口下接属于vlan 1的mac地址为0027.1365.33db的终端，可以配置为192.168.2.2的静态ip地址十五、交换机防网关arp欺骗要求内网能防范 网关arp欺骗，即客户端冒充网关发送网关地址的arp。在接客户机的端口上开启防网关arp欺骗功能Ruijiee nableR

33、uijie#c on figure termi nalRuijie(config)#interface FastEthernet 0/1Ruijie(config-if-FastEthernet 0/1)#anti -arp-spoofing ip 192.168.1.254 配置防网关 arp 欺骗Ruijie(c on fig)# in terface FastEther net 0/2Ruijie(config-if-FastEthernet 0/3)#anti -arp-spoofing ip 192.168.1.254Ruijie(c on fig)# in terface FastEther net 0/3Ruijie(config-if-FastEthernet 0/3)#anti -arp-spoofing ip 192.168.1.25413