锐捷交换机常用配置指南

《锐捷交换机常用配置指南》由会员分享，可在线阅读，更多相关《锐捷交换机常用配置指南（10页珍藏版）》请在装配图网上搜索。

1、目录一、通过使用密码 telnet 登陆设备 2二、通过使用用户名和密码 telnet 登陆设备 2三、通过 web 界面来管理配置交换机2四、修改设备时间3五、交换机光电复用口的切换3六、交换机关闭广播风暴4七、交换机端口聚合经典案例4八、交换机端口限速5九、交换机 MAC 地址绑定5十、交换机端口安全典型案例6十一、交换机 address-bind8十二、交换机防止非法架设DHCP服务器8十三、交换机防止DHCP地址池被耗尽8十四、交换机防止用户私自设置IP地址9十五、交换机防网关arp欺骗9锐捷交换机常用配置指南一、通过使用密码 telnet 登陆设备进入telnet密码配置模式，0 4

2、表示允许共5个用启用需输入密码才能telnet成功 将 telnet 密码设置为 ruijie 回到全局配置模式 配置进入特权模式的密码为ruijie 退出到特权模式确认配置正确，保存配置配置步骤：1、配置管理地址RuijieenableRuijie#configure terminalRuijie(config)#interface vlan 1Ruijie(config-if)#ip address 192.168.33.180 Ruijie(config-if)#exit2、配置 telnet 密码Ruijie(config)#line vty 0 4 户同时 telnet 登入到交换机

3、 Ruijie(config-line)#login Ruijie(config-line)#password ruijie Ruijie(config-line)#exitRuijie(config)# enable secret ruijie Ruijie(config)#endRuijie#write进入特权模式 进入全局配置模式 进入 vlan 1 接口255.255.255.0 为vlan 1接口上设置管理ip 退回到全局配置模式二、通过使用用户名和密码telnet登陆设备进入特权模式 进入全局配置模式 进入 vlan 1 接口1、配置管理地址RuijieenableRuijie#c

4、onfigure terminalRuijie(config)#interface vlan 1Ruijie(config-if)#ip address 192.168.33.180 255.255.255.0 为 vlan 1 接 口上设置管理 ip Ruijie(config-if)#exit退回到全局配置模式配置用户名和密码进入telnet密码配置模式 配置本地认证 回到全局配置模式 配置进入特权模式的密码为ruijie 退出到特权模式确认配置正确，保存配置2、配置 telnet 密码Ruijie(config)#username ruijie password ruijie Ruiji

5、e(config)#line vty 0 4 Ruijie(config-line)#login local Ruijie(config-line)#exitRuijie(config)# enable secret ruijie Ruijie(config)#endRuijie#write三、通过web界面来管理配置交换机1、确认设备是否有web管理软件RuijieenableRuijie#dir 查找是否有“web_management_pack.upd”，如果没有请重新升级设备。 支持新的web管理必须有“web_management_pack.upd”文件。2、 配置管理地址，假设管理

6、vlan为1,管理地址为192.16833180Ruijie#configure terminalRuijie(config)#enable service web-server 全局开启 web 功能Ruijie(config)#interface vlan 1Ruijie(config-if)# ip add 192.168.33.180 255.255.255.0Ruijie(config-if)#exitRuijie(config)#enable secret ruijie配置特权密码，也是登陆 web 的密码Ruijie(config)#endRuijie#write确认配置正确，保

7、存配置3、在浏览器里输入:192168.33180,就可以看到交换机的WEB界面。四、修改设备时间RuijieenableRuijie#clock set 10:00:00 12 1 2012clock set 小时:分:秒 月 日 年Ruijie#conf tRuijie(config)#clock timezone beijing 8 设置交换机的时区Ruijie(config)#endRuijie#write五、交换机光电复用口的切换在设备命名中SFP表示光接口，GT表示电接口。例1： S5750-24GT/12SFP:12个独立电口，12个光电复用接口，默认使用电口例2： S5750-

8、24SFP/12GT:12个独立光口，12个光电复用接口，默认使用光口如果要调整接口的默认使用介质，必须使用命令进行切换。注意：配置之前建议使用 Ruijie#show interface status 查看接口名称，常用接口名称有FastEthernet (百兆)、GigabitEthernet (千兆)和TenGigabitEthernet万兆),以下配置以千兆接 口为例。GigabitEthernet 0/24使用电接口：RuijieenableRuijie#configure terminalRuijie(config)#interface gigabitEthernet 0/24Ru

9、ijie(config-if-GigabitEthernet 0/24)#medium-type copperRuijie(config-if-GigabitEthernet 0/24)#endRuijie#writeGigabitEthernet 0/24使用光接口：RuijieenableRuijie#configure terminalRuijie(config)#interface gigabitEthernet 0/24Ruijie(config-if-GigabitEthernet 0/24)#medium-type fiberRuijie(config-if-GigabitEth

10、ernet 0/24)#endRuijie#write交换机的光电复用口默认都是电口的，如果要用电口不需要设置。六、交换机关闭广播风暴当网的突发流量后或流量很大时，交换机会对流量进行控制，降低流量保证网的数据通 信流畅。但是在无盘环境里，无盘五服务器之间的数据传输量很大，所以在无盘环境里建议 关闭风暴控制，保证无盘系统的正常通信。关闭风暴控制：RuijieenableRuijie#Ruijie#configure terminaRuijie(config)#interface FastEthernet0/1Ruijie(config-if-FastEthernet 0/1)#no storm-

11、control unicast 关闭针对单播数据的风暴控制Ruijie(config-if-FastEthernet 0/1)#no storm-control multicast 关闭针对组播数据的风暴控制 Ruijie(config-if-FastEthernet)#no storm-control broadcast- 关闭针对广播播数据的风暴控制 Ruijie(config-if-FastEthernet)#endRuijie#write 保存配置七、交换机端口聚合经典案例一、组网需求：两台交换机SW1和SW2之间有三根线连接，分别接的是各自的1、2、3接口，要求把三个接口做端口汇聚二

12、、组网拓扑：GiC/3Gi 0/3SbWlt chswitch B三、配置要点：1、端口汇聚的成员属性必须一致，包括接口速率、双工等2、二层端口只能加入二层AP,三层端口只能加入三层AP；包含成员口的AP 口不允 许改变二层/ 三层属性。3、AP 不能开启端口安全功能。4、端口聚合后，成员接口不能单独再进行配置，只能在AggregatePort配置(interface aggregateport x/x)四、配置步骤：Switch A 的配置：Ruijie#configure terminalRuijie(config)#interface range gigabitEthernet 0/1-

13、3 同时进入 0/1，0/2 和 0/3 接口配置 Ruijie(config-if-range)#port-group 1 划入到聚合组 1Ruijie(config-if-range)#endRuijie#write 确认配置正确，保存配置Switch B 的配置：Ruijie#configure terminalRuijie(config)#interface range gigabitEthernet 0/1-3 同时进入 0/1，0/2 和 0/3 接口配置 Ruijie(config-if-range)#port-group 1划入到聚合组 1Ruijie(config-if-ra

14、nge)#endRuijie#write确认配置正确，保存配置八、交换机端口限速一、组网需求：实现基于端口的限速，限制上传速率在2M,下载速率在4M二、配置要点：进入接口模式下配置，是针对整个端口的流量进行限速，不能对接口下的某个ip地址 进行限速,input是上传速率,output是下载速率，猝发流量的值为 K burst bytes: 4,8,16,.,1024,2*1024,4*1024,.,16*1024，速率单位是 KBits，8KBits=1KByte三、配置步骤：Ruijieenable进入特权模式Ruijie#configure terminal进入全局配置模式Ruijie(c

15、onfig)#interface fastEthernet 0/1Ruijie(config-if-FastEthernet 0/1)#rate-limit input 2000 512 配置上传 2m,猝发流量 512K Ruijie(config-if-FastEthernet 0/1)#rate-limit output 4000 512 配置下载 4m,猝发流量 512K Ruijie(config-if-FastEthernet 0/1)#endRuijie#write确认配置正确，保存配置四、验证命令：从FTP服务器下载文件测试速度,速度在467KB，符合需求。局域网两台电脑共享文

16、件， 测试上传流量240KB左右。注意：设备配置中是4mBits,实际下载速率为500KB九、交换机MAC地址绑定每一台电脑都有一个全球唯一的标识： mac 地址。交换机是根据学习到的 mac 地址和 交换机端口的关系表转发数据。MAC 地址静态绑定可以减少交换机 MAC 地址的学习，因为配置了 MAC 静态绑定后， 交换机就不再学习该MAC地址的信息了。通过MAC地址的静态绑定，可以让某个终端（电 脑、PDA或其他网络设备）只能接在交换机的固定接口下，如果接到这台交换机的其他接口 将不能与洽谈设备通信。配置命令： RuijieenableRuijie#configure terminalRu

17、ijie（config）#mac-address-table static 0001.1111.1111 vlan 1 int fastEthernet 0/1 把 vlan1 的 0001.1111.1111绑定在交换机的 f0/1 接口，如果这个 mac 地址接到交换机 的其他接口（如 fastEthernet 0/2）就不能和其他设备通信Ruijie（config）#endRuijie#write 确认配置正确，保存配置十、交换机端口安全典型案例一、组网要求：要求PC1只能接在交换机的F0/1端口，其他的电脑不限制。要求F0/2端口只能接入192.168.1.2且mac地址是0011.1

18、111.1112的电脑。要求F0/3端口只能接入192.168.1.3的电脑，mac地址无要求。要求F0/4接口只能接入PC4和PC5，其他电脑即mac地址接入了也不能通信。二、组网托普PC2PC4 0011.11111114pc 5192160,110011.1111.1111QQU.1U1.111Z三、配置要点：在配置了端口安全的绑定条目，必须敲switchport port-security后才能生效，类似功能 开关。一个MAC或IP只能被绑定在一个接口上。交换机端口启用端口安全后的处理机制：1. 从上往下（后配置的在上面）依次匹配，拒绝则继续往下，放行则跳出，同一个 ip 地址优先级：

19、IP绑定IP+MAC绑定，同一个mac地址优先级：如果有ip+mac的绑定，mac 绑定不生效。2. 查询mac地址表，在能学到的情况下放行，不启用ARP check的情况下，端口安全不对 ARP 报文生效四、配置步骤：1、要求PC1只能接在交换机的F0/1端口，其他的电脑不限制端口安全不能实现该功能，建议使用mac-address-table static命令实现。RuijieenableRuijie#configure terminalRuijie(config)#mac-address-table static 0011.1111.1111 vlan 1 int fastEthernet

20、 0/12、要求F0/2端口只能接入192.168.1.2且mac地址是0011.1111.1112的电脑 RuijieenableRuijie#configure terminalRuijie(config)#interface fastEthernet 0/2Ruijie(config-if-FastEthernet0/2)#switchport port-security binding 0011.1111.1112 vlan 1 192.168.1.2把属于vlan1，且mac地址是0011.1111.1112，ip地址192.168.1.2，绑定在交换机的第二个百兆接口上Ruijie

21、(config-if-FastEthernet 0/2)#switchport port-security 开启端口安全功能Ruijie(config-if-FastEthernet 0/2)#end 退出到特权模式Ruijie#write确认配置正确，保存配置3、要求F0/3端口要求只能接入ip地址是192.168.1.3的电脑，mac地址无要求。即F0/3 下的电脑ip地址只能成192.168.1.3RuijieenableRuijie#configure terminalRuijie(config)#interfac fastEthernet 0/3Ruijie(config-if-Fa

22、stEthernet 0/3)# switchport port-security binding 192.168.1.3 把 ip 地 址 是 192.168.1.3 的 终 端 定 在 交 换 机 的 第 三 个 百 兆 接 口Ruijie(config-if-FastEthernet 0/3)#switchport port-security 开启端口安全功能Ruijie(config-if-FastEthernet 0/3)#endRuijie#write确认配置正确，保存配置4、要求F0/4接口只能接入PC4和PC5,其他电脑即mac地址接入了也不能通信RuijieenableRui

23、jie#configure terminalRuijie(config)#interface fastEthernet 0/4Ruijie(config-if-FastEthernet 0/4)# switchport port-security mac-address 0011.1111.1114 vlan 1 -把属于lan1且mac地址是0011.1111.1114的终端绑定在交换机的第四个百兆接口Ruijie(config-if-FastEthernet 0/4)# switchport port-security mac-address 0011.1111.1115 vlan 1 -

24、把属于lan1且mac地址是0011.1111.1115的终端绑定在交换机的第四个百兆接口 Ruijie(config-if-FastEthernet 0/4)#switchport port-security maximum 2 默认 128Ruijie(config-if-FastEthernet 0/4)#switchport port-security 开启端口安全功能Ruijie(config-if-FastEthernet 0/3)#endRuijie#write确认配置正确，保存配置一、交换机 address-bind利用接入设备实现接入用户，只有绑定的ip+MAC才可以与外网通

25、信，没有绑定的不能 通信。RuijieenableRuijie#configure terminalRuijie(config)#address-bind 192.168.1.1 0001.1111.1111 配置 IP 地址和 MAC 地址的绑定关系Ruijie(config)#address-bind uplink FastEthernet 0/24 配置地址绑定的例外端口(上联端口)Ruijie(config)#address-bind install使 IP 和 MAC 地址绑定生效 Ruijie(config)#endRuijie#write确认配置正确，保存配置十二、交换机防止非法

26、架设DHCP服务器1、在接入交换机上开启dhcp snooping功能RuijieenableRuijie#configure terminalRuijie(config)#ip dhcp snooping 开启 DHCP snooping 功能2、连接DHCP服务器的接口配置为可信任口Ruijie(config)#int FastEthernet0/24Ruijie(config-FastEthernet 0/24)#ip dhcp snooping trust 开启 DHCPsnooping的交换机所有接口缺省为untrust 口，交换机只转发从trust 口收到的DHCP响 应报文(of

27、fer、ACK、NAK)3、保存配置Ruijie(config-FastEthernet 0/24)#endRuijie#write确认配置正确，保存配置十三、交换机防止DHCP地址池被耗尽防接入用户电脑中毒，不断发出dhcp请求，把dhcp地址池里的地址耗尽。全局配置 dhcp snooping。连接到dhcp服务器的端口配置信任口。全局配置 dhcp snooping ver mac-address。此功能必须配合dhcp snooping功能使用，即开此功能的前提是必须开启dhcp snooping 功能。1、全局配置 dhcp snoopingRuijieenableRuijie#co

28、nfigure terminalRuijie(config)#ip dhcp snooping 开启 DHCP snooping 功能2、连接DHCP服务器的接口配置为可信任口Ruijie(config)#int FastEthernet0/24Ruijie(config-FastEthernet 0/24)#ip dhcp snooping trust3、全局配置 dhcp snooping ver mac-addressRuijie(config)#ip dhcp snooping verify mac-address 开启防止地址耗尽攻击防护4、保存配置Ruijie(config)#en

29、dRuijie#write 确认配置正确，保存配置十四、交换机防止用户私自设置 IP 地址1、要求客户机只能通过DHCP获取地址上网，手动配置地址不允许上网。接入交换机全局开启dhcp snooping。接入交换机的上连口(即连接到 dhcp 服务器的端口)配置信任口。除上连口外的其他端口配置source guard功能。此功能须配合 dhcp snooping 功能使用，即开此功能的前提是必须开启 dhcp snooping 功能。1、在接入交换机上开启dhcp snooping功能RuijieenableRuijie#configure terminalRuijie(config)#ip

30、dhcp snooping 开启 DHCP snooping 功能2、连接DHCP服务器的接口配置为可信任口Ruijie(config)#int FastEthernet0/24Ruijie(config-FastEthernet 0/24)#ip dhcp snooping trust 确认配置正确，保存配置开启DHCP snooping的交换机所有接口缺省为untrust 口，交换机只转发从trust 口收到的DHCP 响应报文(offer、ACK、NAK)。3、除上连口外的其他端口配置source guard功能Ruijie(config)# interface range FastEt

31、hernet 0/3-24 进入交换机的第324个接口配置Ruijie(config-if-range)#ip verify source port-security 开启防止用户手动设置 ip 的功能4、配置允许配置静态地址Ruijie(config)#ip source binding 0027.1365.33db vlan 1 192.168.2.2 interface FastEthernet 0/1 允许交换机第一百兆接口下接属于vlan 1的mac地址为0027.1365.33db的终端，可 以配置为192.168.2.2的静态ip地址十五、交换机防网关 arp 欺骗要求网能防网关

32、arp欺骗，即客户端冒充网关发送网关地址的arp。在接客户机的端口上开启防网关arp欺骗功能RuijieenableRuijie#configure terminalRuijie(config)#interface FastEthernet 0/1配置防网关arp欺骗Ruijie(config-if-FastEthernet 0/1)#anti-arp-spoofing ip 192.168.1.254Ruijie(config)#interface FastEthernet 0/2Ruijie(config-if-FastEthernet 0/3)#anti-arp-spoofing ip 192.168.1.254Ruijie(config)#interface FastEthernet 0/3Ruijie(config-if-FastEthernet 0/3)#anti-arp-spoofing ip 192.168.1.254