一、设备维护管理
1、设备命名
大多数设备默认的名字是“Ruijie”,可以使用以下命令修改交换机的命名。
Ruijie>en
Ruijie#configure terminal
Ruijie(config)#hostname Switch ------>设置交换机的名字为"Switch"
Switch(config)#end
Switch#write ------>确认配置正确,保存配置
说明:交换机名称用于标识一台设备的名字,在实际应用过程中可以根据需求进行命名。例如可以参考设备的地理位置(AA)、网络位置(BB)、设备型号(CC)、设备编号等因素(DD),灵活制定命名规范(AA_BB_CC_DD),命令如下:
2、配置设备登录方式
2.1、配置管理IP
2.1.1、二层交换机
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#vlan 10
Ruijie(config-vlan)#interface vlan 10 ------>进入vlan 10接口
Ruijie(config-if-VLAN 10)#ip address 192.168.10.1 255.255.255.0
Ruijie(config-if-VLAN 10)#end
Ruijie#write ------>确认配置正确,保存配置
说明:
1、在进入vlan接口配置时,需要先创建相应的vlan,否则会提示失败。
2、如果要在同一个vlan配置第二个地址,在配置第二个地址的时候,后面再加一个secondary,否则会覆盖原有地址。
例如创建vlan 10的secondary地址为192.168.1.1/24可以通过如下命令实现:
Ruijie(config)#vlan 10
Ruijie(config-vlan)#exit
Ruijie(config)#interface vlan 10
Ruijie(config-if-VLAN 10)#ip address 192.168.1.1 255.255.255.0 secondary
Ruijie(config-if-VLAN 10)#end
Ruijie#show run ------>查看配置
2.1.2、三层交换机
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#interface vlan 10
Ruijie(config-if-VLAN 10)#ip address 192.168.1.1 255.255.255.0
Ruijie(config-if-VLAN 10)#end
Ruijie#write ------>确认配置正确,保存配置
配置方法2(需确保交换机是三层交换机):
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#int FastEthernet 0/1
Ruijie(config-if-FastEthernet 0/1)#no switchport ------>将端口设置为三层口,配置IP地址之前必须要先变为三层口,否则无法配置IP地址
Ruijie(config-if-FastEthernet 0/1)#ip add 192.168.16.1 255.255.255.0
Ruijie(config-if-FastEthernet 0/1)#end
Ruijie#write ------>确认配置正确,保存配置
查看配置
Ruijie#show ip int brief
Interface IP-Address(Pri) IP-Address(Sec) Status Protocol
GigabitEthernet 0/0 172.18.160.1/24 no address up up
VLAN 10 192.168.100.1/24 192.168.1.1/24 down down
2.2、配置Telnet登录
2.2.1、配置要点
2.2.2、配置前的准备
在开始交换机Telnet和SSH配置之前,我们需要把eve中交换机和本地电脑网络打通,这里就需要用到eve中的云功能。
虚拟机关机后选择“编辑虚拟机设置”。
在弹出的界面选择“添加”
选择“网络适配器”,“完成”。
选中刚才新增的网络适配器,网络连接方式选择“主机模式”,然后“确定”。
打开eve,右键选择“Network”.
在弹出的界面中Type选择“bridge”,其他默认即可。
然后把我们添加的云连接到交换机的端口上。如图所示:
在本地电脑网络中找到虚拟机网卡,其中VMnet1就是我们本地与虚拟机连接的网卡,配置IP为“192.168.10.25”。VMnet8是eve网页访问需要用的网卡,不用管他,大家根据实际情况配置。
2.2.3、配置步骤
Ruijie>enable ------>进入特权模式
Ruijie#configure terminal ------>进入全局配置模式
Ruijie(config)#vlan 10
Ruijie(config-vlan)#interface vlan 10 ------>进入vlan 10接口
Ruijie(config-if-VLAN 10)#ip address 192.168.10.1 255.255.255.0 ------>为vlan 10接口上设置管理ip
Ruijie(config-if-VLAN 10)#exit ------>退回到全局配置模式
Ruijie(config)#line vty 0 4 ------> 进入telnet密码配置模式,0 4表示允许共5个用户同时telnet登入到交换机
Ruijie(config-line)#login ------>启用需输入密码才能telnet成功
Ruijie(config-line)#password ruijie ------> 将telnet密码设置为ruijie
Ruijie(config-line)#exit ------> 回到全局配置模式
Ruijie(config)#enable password ruijie ------>配置进入特权模式的密码为ruijie
Ruijie(config)#end ------>退出到特权模式
Ruijie#write ------>确认配置正确,保存配置
在进行以下操作时,要确保eve和本地电脑网络可以ping通。如果不通,则检查云配置或者交换机配置是否正确
确认telnet配置是否正确
a)、在开始–运行中输入cmd命令,”确定“,在弹出的CMD命令行中,输入telnet 192.168.10.1
b)、回车后,输入line vty 所配置的密码,进入设备的用户模式,出现Ruijie>模式
c)、在Ruijie>模式下输入enable后,提示输入特权密码,输入正确的密码后回车,进入特权模式
需求二:telnet时使用用户名及密码登入交换机
Ruijie(config)#line vty 0 4 ------>进入telnet密码配置模式,0 4表示允许共5个用户同时telnet登入到交换机
Ruijie(config-line)#login local ------>启用telnet时使用本地用户和密码功能
Ruijie(config-line)#exit ------>回到全局配置模式
Ruijie(config)#username admin password ruijie ------>配置远程登入的用户名为admin,密码为ruijie
Ruijie(config)#enable password ruijie ------>配置进入特权模式的密码为ruijie
Ruijie(config)#end ------>退出到特权模式
Ruijie#write ------>确认配置正确,保存配置
确认telnet配置是否正确
a)、在开始–运行中输入cmd命令,”确定“,在弹出的CMD命令行中,输入telnet 192.168.10.1
b)、回车后,出现输入用户和密码,密码输入时隐藏不显示。输入正确的密码后回车,进入设备的用户模式,出现Ruijie>模式
c)、在Ruijie>模式下输入enable后,提示输入特权密码,输入正确的密码后回车,进入特权模式。
d)、查看当前用户登入交换机情况
如上图,有两个用户登入交换机,一个是通过console线登入,另外一个是通过telnet登入交换机,登入用户的IP地址是192.168.10.25。
2.3、配置SSH登录
2.3.1、配置要点
1、需要开启SSH功能
2、需要手工生成Key
3、如果PC与交换机不在同一个网段,需要配置交换机的默认网关
2.3.2、配置步骤
1、开启交换机的SSH服务功能
2、生成加密密钥:
Ruijie(config)#crypto key generate dsa ------>加密方式有两种:DSA和RSA,可以随意选择
Choose the size of the key modulus in the range of 360 to 2048 for your
Signature Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: ------>直接敲回车
% Generating 512 bit DSA keys …[ok]
3、配置交换机的管理IP地址
管理IP如果已经配置这一步可以忽略
Ruijie(config)#vlan 10
Ruijie(config-vlan)#interface vlan 10 ------>进入vlan 10接口
Ruijie(config-if-VLAN 10)#ip address 192.168.10.1 255.255.255.0 ------>为vlan 1接口上设置管理ip
需求一:SSH时仅使用密码登入交换机
Ruijie(config)#line vty 0 4 ------> 进入SSH密码配置模式,0 4表示允许共5个用户同时SSH登入到交换机
Ruijie(config-line)#login ------>启用需输入密码才能SSH成功
Ruijie(config-line)#password ruijie ------> 将SSH密码设置为ruijie
Ruijie(config-line)#exit ------> 回到全局配置模式
Ruijie(config)#enable password ruijie ------>配置进入特权模式的密码为ruijie
Ruijie(config)#end ------>退出到特权模式
Ruijie#write ------>确认配置正确,保存配置
注意事项:如果要限制用户使用telnet登录,只能使用SSH登录,则需要调整配置,默认情况下telnet和SSH均可登录。
Ruijie(config)#line vty 0 4
Ruijie(config-line)#transport input ssh
确认是否配置正确
1)打开Xshell软件(说明:SSH登入交换机需要用支持SSH客户端的软件,windows的CMD模式不支持SSH,这里使用Xshell软件作为SSH客户端)。名称随便输入,协议选择SSH,主机输入交换机IP地址,端口号如果没有修改就默认即可。
2)连接,在如下选项框选择接受并保存。
3)出现输入用户名界面,随便输入一个用户名,我这边输入了aa作为用户名。
4)出现输入密码界面,输入远程登入密码。
需求二:SSH时使用用户名及密码登入交换机
Ruijie(config)#line vty 0 4 ------>进入SSH密码配置模式,0 4表示允许共5个用户同时SSH登入到交换机
Ruijie(config-line)#login local ------>启用SSH时使用本地用户和密码功能
Ruijie(config-line)#exit ------>回到全局配置模式
Ruijie(config)#username admin password ruijie ------>配置远程登入的用户名为admin,密码为ruijie
Ruijie(config)#enable password ruijie ------>配置进入特权模式的密码为ruijie
Ruijie(config)#end ------>退出到特权模式
Ruijie#write ------>确认配置正确,保存配置
功能验证
show service命令确认SSH服务功能是否开启
show users查看当前登入的用户
2.4、配设置Console口用户和密码
Ruijie(config)#line console 0
Ruijie(config-line)#login local
Ruijie(config)#username admin password ruijie
3、设备时间设置及查看
3.1、本地时钟
Ruijie#show clock
05:57:08 UTC Fri, Apr 19, 2024
Ruijie#conf t ------>进入全局配置模式
Enter configuration commands, one per line. End with CNTL/Z.
Ruijie(config)#clock timezone beijing 8 ------>设置交换机的时区为北京东八区
Set time zone: beijing (GMT+08:00)
Ruijie(config)#exit
Ruijie#clock set 13:59:00 4 19 2024 ------>clock set 小时:分:秒 月 日 年
Set system clock: 13:59:00 beijing Fri, Apr 19, 2024
Ruijie#show clock ------>查看交换机的时间
13:59:10 beijing Fri, Apr 19, 2024
Ruijie#wr ------>确认配置正确,保存配置
Building configuration…
[OK]
Ruijie#
3.2、网络时钟NTP
一、组网需求
交换机需要通过NTP服务器同步时间,从而保持时钟准确性。
二、配置步骤
4、常用文件操作命令
Ruijie#write 保存配置
Ruijie(config)#no command 删除某条具体命令
Ruijie#delete config.text 恢复出产配置(锐捷设备不需要单独删除VLAN)
Ruijie#copy flash:config.text flash:config.bak 将当前保存的配置进行备份
Ruijie#copy flash:config.bak flash:config.text 将备份配置恢复至当前保存的配置
Ruijie#reload 重启设备(是否要保存,需要注意)
5、交换机常用show命令
#show running-config //查看当前生效的配置信息
#show startup-config //查看启动配置文件
#show interface fastethernet 0/1 //查看某一端口模式(如F 0/1)
#show interface serial 1/2 //查看S1/2端口信息
#show interface //查看所有端口信息
#show interface status //查看交换接口的信息,包括状态、vlan、双工、速度和使用介质
#show interface count rate //查看设备当前接口的实时流量
#show ip interface brief //以简洁方式汇总查看所有端口信息
#show ip interface //查看所有端口信息
#show ip access-lists listname //查看名为listname的列表的配置信息
#show version //查看版本信息
#show vlan //查看所有VLAN信息
#show vlan id 10 //查看某一VLAN (如VLAN10)的信息
#show aggregateport 1 summary //查看聚合端口AG1的信息
#show spanning-tree //查看生成树配置信息
#show spanning-tree interface fastethernet 0/1 //查看该端口的生成树状态
#show port-security //查看交换机的端口安全配置信息
#show port-security address //查看地址安全绑定配置信息
#show mac-address-table //查看设备当前的MAC地址表
#show arp //查看设备当前的ARP表
1)、查看交换机的版本信息
通过show version命令可以查看交换机具体型号、软件版本、硬件版本、交换机序列号等信息
(注:11.X软件平台建议使用show version detail查看版本信息,该命令无法通过?查看,也无法通过Tab键补全,需要手动将该命令敲全)
2)、查看交换机CPU利用率
通过show cpu进行查看,可以查看5分钟、1分钟、5秒钟的CPU利用率。
3)、查看交换机内存利用率
通过show memory进行查看,可以查看总的内存大小,可用内存大小及当前内存利用率。
4)、查看交换机的电源信息
通过show power命令可以查看交换机的电源供电状态。
5)、查看交换机的风扇信息
通过show fan命令可以查看交换机的风扇是否正常
6)、查看交换机的版本信息
通过show tem命令可以查看交换机的温度
7)、查看交换机时间命令
在特权模式下使用show clock命令查看交换机的时间,如下:
Ruijie#show clock ------>查看交换机的时间
16:18:24 beijing Thu, Apr 25, 2024
8)、查看交换机的log信息
在特权模式下使用show log命令查看日志信息
2)通过more flash:xxx来查看保存到flash中的log信息。
说明:需要用命令Ruijie(config)#logging file flash:syslog 来将缓存区的log保存到flash
9)、查看交换机FLASH空间大小
通过dir命令进行查看,可以查看主程序文件、配置文件、总FLASH空间大小及当前空闲的FLASH空间大小
10)、查看交换机的IP地址信息
通过show ip interface brief 命令可以查看交换机的IP地址信息
10)、查看交换机的路由表
通过show ip route命令可以查看交换机的路由表信息
通过show ip route count命令来查看交换机的路由表数目
11)、查看交换机的接口状态信息
通过show int st命令可以查看交换机的接口是否UP
通过在特权模式上show interfaces description 接口连接的描述信息
二、接口配置
1、进入接口模式配置
【例】进入 Gigabitethernet 0/2 接口进行配置:
交换机互联的重要接口均要求配置端口描述,以方便进行日常维护及故障排查。可以参考Link-对端设备名-对端接口名的规则,灵活制定描述信息。例如可以如下配置端口描述信息:
Ruijie(config-if-GigabitEthernet 0/1)#description Link-to-WLZX_Core_S8610_1-G1/2
查看配置
Ruijie#show interfaces description
2、将接口恢复出厂配置
通过default将命令将接口恢复为出厂配置,如可以在配置模式下,将G0/1接口恢复为出厂配置:
Ruijie(config)#default interface gigabitEthernet 0/1
也可以使用如图所示的批量恢复出厂方式
3、批量配置接口
【例1】进入gigabitethernet 0/4 – 8,一次对5个接口进行配置:
Ruijie# configure terminal
Ruijie(config)# interface range gigabitEthernet 0/4 - 8
Ruijie(config-if-range)# no shutdown
Ruijie(config-if-range)#switchport access vlan 10
【例2】进入0/0, 0/3,对不连续的2个接口进行配置(下面的例子使用分隔符号(,)隔开多个 range)
对于端口连续和不连续的可以结合使用。
4、Access和Trunk口配置
1)、交换机access口配置
将交换机的0号口配置为access口,并且属于vlan10
Switch#conf t.
Switch(config)#interface gigabitEthernet 0/0
Switch(config-if-GigabitEthernet 0/0)#switchport access vlan 10
Switch(config-if-GigabitEthernet 0/0)#end
Switch#wr
说明:
交换机如果没有配置,那么默认所有端口都是access口。如果端口被配置为trunk口,需要改为access口,需要先在接口下敲switchport mode access,否则不生效,例如原来的trunk口配置改为access口,属于access vlan 10,命令如下:
Switch#show run interface gigabitEthernet 0/1 ------>查看配置
Building configuration…
Current configuration: 55 bytes
interface GigabitEthernet 0/1
switchport mode trunk
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#int g0/1
Switch(config-if-GigabitEthernet 0/1)#switchport mode access ------>设置为access模式
Switch(config-if-GigabitEthernet 0/1)#switchport access vlan 10
Switch(config-if-GigabitEthernet 0/1)#end
Switch#*Apr 23 08:10:19: %SYS-5-CONFIG_I: Configured from console by console
Switch#
2)、 交换机TRUNK口配置
将交换机的1号口配置为trunk口
Switch#conf t
Switch(config)#int g0/1
Switch(config-if-GigabitEthernet 0/1)#switchport mode trunk
Switch(config-if-GigabitEthernet 0/1)#end
查看配置
Switch#show interfaces trunk
native vlan是1,ALL表示允许所有的vlan通过
3)、 Trunk口VLAN裁剪(必配)
交换机的1号口配置为trunk口,并且只允许vlan 5、vlan 10、vlan20-30通过,其余vlan不允许通过
Ruijie#configure terminal
Ruijie(config)#interface gigabitEthernet 1/1
Ruijie(config-if-GigabitEthernet 1/1)#switchport mode trunk
Ruijie(config-if-GigabitEthernet 1/1)#switchport trunk allowed vlan remove 1-4,6-9,11-19,31-4094 ------>交换机默认允许所有本地已创建的vlan通过,如果只需要配置只允许相应vlan通过,需要把不允许通过的vlan给裁剪掉
Ruijie(config-if-GigabitEthernet 1/1)#end
Ruijie#wr
三、VLAN配置
1、VLAN基本配置
Ruijie#conf t
Ruijie(config)#vlan 20 ------> 创建VLAN 20
Ruijie(config-vlan)#name bangongA ------>vlan描述
Ruijie(config-vlan)#end
Ruijie#conf t
Ruijie(config)#int vlan 20 ------> 创建SVI 20
Ruijie(config-if-VLAN 20)#ip add 192.168.20.1 255.255.255.0 ------> 配置vlan 20的网关地址
Ruijie(config-if-VLAN 20)#end
Ruijie#wr
2、VLAN间互访
一、组网需求:
二、组网拓扑:
三、配置要点:
本用例以核心交换机和1 台接入交换机为例说明配置过程。要点如下:
1)在核心交换机配置2 个VLAN,配置下连接入交换机的端口为trunk 口
2)在核心交换机配置2个SVI 口,分别作为2 个VLAN 对应IP 子网的网关接口,配置对应的IP 地址;
3)在接入交换机创建VLAN,为各VLAN 分配Access 口,指定上连核心交换机的trunk 口。
四、配置步骤:
注意:配置之前建议使用 Ruijie#show interface status查看接口名称,常用接口名称有FastEthernet(百兆)、GigabitEthernet(千兆)和TenGigabitEthernet(万兆),以下配置千兆接口为例。
核心交换机的配置:
Switch#conf t
Switch(config)#hostname Ruijie
Ruijie(config)#vlan 20 ------> 创建VLAN 20
Ruijie(config-vlan)#int vlan 20 ------> 创建SVI 20
Ruijie(config-if-VLAN 20)#ip add 192.168.2.1 255.255.255.0 ------> 配置vlan 20的网关地址
Ruijie(config-if-VLAN 20)#exit
Ruijie(config)#vlan 30 ------>创建VLAN 30
Ruijie(config-vlan)#int vlan 30 ------> 创建SVI 30
Ruijie(config-if-VLAN 30)#ip add 192.168.3.1 255.255.255.0 ------> 配置vlan 30的网关地址
Ruijie(config-if-VLAN 30)#end
Ruijie#conf t
Ruijie(config)#int g0/0
Ruijie(config-if-GigabitEthernet 0/0)#switchport mode trunk ------>配置该端口Gi 0/0为trunk 口
Ruijie(config-if-GigabitEthernet 0/0)#end
接入交换机上的配置:
Switch#conf t
Switch(config)#vlan 20
Switch(config-vlan)#vlan 30
Switch(config-vlan)#exit
Switch(config)#int g0/1
Switch(config-if-GigabitEthernet 0/1)#switchport access vlan 20 ------>将端口Gi0/1 分配给VLAN 20
Switch(config-if-GigabitEthernet 0/1)#int g 0/5
Switch(config-if-GigabitEthernet 0/5)#switchport access vlan 30 ------>将端口Gi0/5 分配给VLAN 30
Switch(config-if-GigabitEthernet 0/5)#exit
Switch(config)#int g0/0
Switch(config-if-GigabitEthernet 0/0)#switchport mode trunk ------> 指定上连核心交换机的trunk 口
Switch(config-if-GigabitEthernet 0/0)#end
Switch#wr
五、配置验证:
核心交换机:查看vlan 信息,包括vlan id、名称、状态、包括的端口
1 VLAN0001 STATIC Gi0/0, Gi0/1, Gi0/2, Gi0/3
Gi0/4, Gi0/5, Gi0/6, Gi0/7
Gi0/8
20 VLAN0020 STATIC Gi0/0
30 VLAN0030 STATIC Gi0/0
查看端口Gi 0/0 的vlan 状态
GigabitEthernet 0/0 enabled TRUNK 1 1 Disabled ALL
PC2的配置与测试
PC1的配置与测试
四、DHCP配置
1、交换机作为DHCP服务器
1.1)、配置要点
1、(必配)开启DHCP服务,service dhcp为dhcp的功能开关
2、配置DHCP地址池, DHCP地址池里可用地址的个数要是实际用户数的2倍左右
3、(可选)配置哪些地址不想被分配给PC机使用
4、(可选)指定固定ip分配给固定PC机
5、检查配置,保存
1.2)、配置步骤:
1、基本网络配置
1.1)新建vlan 10、20
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#vlan 10 ------>创建vlan10
Ruijie(config-vlan)#exit
Ruijie(config)#vlan 20
Ruijie(config-vlan)#exit
1.2) 划分接口到相应vlan下
Ruijie(config)#interface GigabitEthernet 0/5
Ruijie(config-if-GigabitEthernet 0/5)# switchport access vlan 10 ------> 把交换机的第5个接口划入到vlan 10
Ruijie(config)#interface GigabitEthernet 0/3
Ruijie(config-if-GigabitEthernet 0/3)# switchport access vlan 20
1.3)配置vlan10和vlan20的svi口地址(vlan网关地址)
Ruijie(config)#interface vlan 10
Ruijie(config-if-VLAN 10)#ip address 192.168.10.1 255.255.255.0
Ruijie(config-if-VLAN 10)#exit
Ruijie(config)#interface vlan 20
Ruijie(config-if-VLAN 20)#ip address 192.168.20.1 255.255.255.0
Ruijie(config-if-VLAN 20)#exit
2、普通DHCP配置
2.1)开启DHCP功能
Ruijie(config)#service dhcp
2.2) 配置DHCP地址池
Ruijie(config)#ip dhcp pool valn10 ------>创建一个名为 valn10 的DHCP地址池
Ruijie(dhcp-config)#lease 1 2 3 ------>1、2、3分别是天、时、分,地址释放时间默认为24小时。
Ruijie(dhcp-config)#network 192.168.10.0 255.255.255.0 ------>可以分配的地址是192.168.10.1~192.168.10.253
Ruijie(dhcp-config)#dns-server 8.8.8.8 6.6.6.6 ------>8.8.8.8为主DNS,6.6.6.6为备用DNS
Ruijie(dhcp-config)#default-router 192.168.10.1 ------>分配的网关地址
Ruijie(dhcp-config)#exit
Ruijie(config)#ip dhcp pool valn20
Ruijie(dhcp-config)#network 192.168.20.0 255.255.255.0
Ruijie(dhcp-config)#lease 1 2 3
Ruijie(dhcp-config)#dns-server 8.8.8.8 6.6.6.6
Ruijie(dhcp-config)#default-router 192.168.20.1
Ruijie(dhcp-config)#exit
在PC1中查看原有IP,清除IP配置,并通过DHCP获取IP地址。
2.3) 保留部分地址
Ruijie(config)#ip dhcp excluded-address 192.168.20.1 192.168.20.10 ------>不向客户端分配192.168.20.1~~192.168.20.10的地址
在PC2中原来分配的192.168.20.3由于交换机配置了保留地址段,所以这个被回收,重新分配了保留地址段之外的地址。
3、为特定的PC机分配固定的 ip地址
DHCP 手工指定,假设让mac地址为0050.7966.6803 的PC机自动获取到192.168.10.88的地址
DHCP给特定mac的客户端分配固定的 ip地址,根据客户端DHCP 请求报文标识客户端mac地址字段的不同,有如下两种方式:
1)通过命令 client-identifier 01+mac地址(01 代表网络类型为以太网) 配置命令:Ruijie(dhcp-config)#client-identifier 010050.7966.6803 //配置根据客户端标识来分配地址,客户端标识为01+mac地址(01 代表网络类型为以太网)
2)通过命令 hardware-address mac地址 配置命令: Ruijie(dhcp-config)#hardware-address 0050.7966.6803 //配置客户端的mac,推荐根据客户端mac分配IP地址
3)指定固定IP分配给固定PC机
Ruijie(config)#ip dhcp pool zhangsan //指定静态地址池名称为zhangsan
Ruijie(dhcp-config)#hardware-address 0050.7966.6803 //配置客户端的mac,推荐根据客户端mac分配IP地址
Ruijie(dhcp-config)#host 192.168.10.88 255.255.255.0 //配置要固定分配的ip及掩码
Ruijie(dhcp-config)#dns-server 8.8.8.8 6.6.6.6 //8.8.8.8为主DNS,6.6.6.6为备用DNS
Ruijie(dhcp-config)#default-router 192.168.10.1 //用户网关
查看dhcp已经分配的IP地址
show ip dhcp binding
2、交换机作为DHCP中继
一、组网要求
1)PC3能自动获取vlan20的地址;
2)PC3网关在三层交换机(Ruijie)上;
3)DHCP服务器在(Ruijie)这台设备上;
二、组网拓扑
三、配置要点:
交换机(Ruijie-SW)配置vlan 、vlan 的svi地址并把端口划分到相应vlan里;
交换机(Ruijie-SW)开启DHCP功能;
配置DHCP中继功能;
交换机(Ruijie)开启dhcp功能,配置DHCP地址池;
四、配置步骤:
DHCP中继交换机(Ruijie-SW)配置:
1、基本网络配置
1.1)新建vlan 10、20
Switch>enable
Switch#configure terminal
Switch(config)#vlan 10 ------>创建vlan10
Switch(config-vlan)#exit
Switch(config)#vlan 20
Switch(config-vlan)#exit
1.2) 划分接口到相应vlan下
Switch(config)#interface GigabitEthernet 0/0
Switch(config-if-GigabitEthernet 0/0)# switchport access vlan 10 ------> 把交换机的第5个接口划入到vlan 10
Switch(config)#interface GigabitEthernet 0/2
Switch(config-if-GigabitEthernet 0/2)# switchport access vlan 20
1.3)配置vlan10和vlan20的svi口地址(vlan网关地址)
Switch(config)#interface vlan 10
Switch(config-if-VLAN 10)#ip address 192.168.10.10 255.255.255.0
Switch(config-if-VLAN 10)#exit
Switch(config)#interface vlan 20
Switch(config-if-VLAN 20)#ip address 192.168.20.2 255.255.255.0
Switch(config-if-VLAN 20)#exit
1.4)配置连接 (Ruijie) 的接口地址
Switch(config)#interface gigabitEthernet 0/1
Switch(config-if-GigabitEthernet 0/1)#switchport mode trunk
Switch(config-if-GigabitEthernet 0/1)#switchport trunk allowed vlan all
2、配置DHCP中继
2.1)开启DHCP功能
Switch(config)#service dhcp
2.2)配置DHCP中继
Switch(config)#ip helper-address 192.168.10.1 ------>192.168.10.1是DHCP服务器的地址
DHCP服务器交换机(Ruijie)配置查看 交换机作为DHCP服务器
3、配置验证
3、DHCP Snooping
一、功能简介:
DHCP Snooping:意为DHCP 窥探,在一次PC动态获取IP地址的过程中,通过对Client和服务器之间的DHCP交互报文进行窥探,实现对用户的监控,同时DHCP Snooping起到一个DHCP 报文过滤的功能,通过合理的配置实现对非法服务器的过滤,防止用户端获取到非法DHCP服务器提供的地址而无法上网。
二、配置要点
三、组网拓扑
四、配置步骤
核心交换机配置:
1、开启核心设备的DHCP服务功能
Switch(config)#service dhcp
2、创建核心设备的IP地址,即用户的网关地址
Switch(config)#interface vlan 1
Switch(config-if-VLAN 1)#ip address 192.168.1.254 255.255.255.0
Switch(config-if-VLAN 1)#exit
3、创建核心设备的DHCP地址池
Switch(config)#ip dhcp pool vlan1
Switch(dhcp-config)#network 192.168.1.0 255.255.255.0 ------>子网掩码要和所设置IP地址的子网掩码一致,这里都是/24位掩码
Switch(dhcp-config)#dns-server 218.85.157.99 ------>设置分配给客户端的DNS地址
Switch(dhcp-config)#default-router 192.168.1.254 ------>设置分配给用户的网关地址,这个要和核心设备上所设置的IP地址一致,为192.168.1.254
Switch(dhcp-config)#end
Switch#wr
接入交换机配置:
1、在接入交换机上开启dhcp snooping功能
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#ip dhcp snooping ------>开启DHCP snooping功能
2、连接DHCP服务器的接口配置为可信任口
五、功能验证
1、查看核心交换机DHCP服务器地址池分配情况
2、查看PC获取IP地址情况
3、接入交换机查看DHCP Snooping表
4、接入交换机查看DHCP Snooping的设置情况
五、访问控制列表(ACL)
例:access-list 700 permit host 0001.1111.1111 any
Expert扩展访问控制列表: access-list N [permit | deny ] 协议 源mac mac反掩码 目的mac mac反掩码 ,N取值范围 2700-2899
例:access-list 2700 permit ipx host 0001.1111.1111 any
注:ACL默认最后是一条deny的条目“禁止所有”,这是隐藏的规则,配置是一定要注意,否则会导致与ACL相关的策略达不到预期的效果。
1、标准ACL
一、组网需求
只允许vlan 2网段的数据通过g0/0上网,其他网段不允许。
二、组网拓扑
三、配置要点:
1) ACL默认最后有一条deny any,故允许(permit)的ACL应该写在上面。若是禁止某网段访问,其他网段均放通,则应该在最后加一条permit any。
2)标准的ACL只匹配源IP地址;
3)标准的ACL号是从1-99和1300-1999;
4)如果是单个IP地址,可写为access-list 1 permit host 192.168.1.1
四、配置步骤:
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#vlan 2 ------>创建vlan 2
Ruijie(config-vlan)#exit
Ruijie(config)#vlan 3
Ruijie(config-vlan)#exit
1.2)划分接口到相应vlan下
Ruijie(config)#interface GigabitEthernet 0/1
Ruijie(config-if-GigabitEthernet 0/1)# switchport access vlan 2
Ruijie(config)#interface GigabitEthernet 0/5
Ruijie(config-if-GigabitEthernet 0/5)# switchport access vlan 3 ------>把交换机的第23个千兆接口划入到vlan 3
1.3)配置vlan2和vlan3的svi口地址
Ruijie(config)#interface vlan 2
Ruijie(config-if-VLAN 2)#ip address 192.168.2.254 255.255.255.0 ------>配置vlan 2的网关地址
Ruijie(config-if-VLAN 2)#exit
Ruijie(config)#interface vlan 3
Ruijie(config-if-VLAN 3)#ip address 192.168.3.254 255.255.255.0 ------>配置vlan 3的网关地址
Ruijie(config-if-VLAN 3)#exit
2)配置g0/0为路由口:
Ruijie(config)#interface GigabitEthernet 0/0
Ruijie(config-if-GigabitEthernet 0/0)#no switchport ------>把交换机的第一千兆接口属性改成路由接口
Ruijie(config-if-GigabitEthernet 0/0)#ip address 172.16.1.1 255.255.255.0 ------>配置ip地址
3)配置默认路由:
Ruijie(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.2 ------>配置默认路由
4)配置标准ACL,并在g0/0调用:
Ruijie(config)#access-list 1 permit 192.168.2.0 0.0.0.255 ---->序列1~99标准的ACL,指定源地址,只允许VLAN2网段192.168.2.0/24网段
Ruijie(config)#access-list 1 deny any ------> 默认有一条deny any的条目
Ruijie(config)#interface GigabitEthernet 0/0
Ruijie(config-if-GigabitEthernet 0/0)#ip access-group 1 in------>在G0/0接口的in方向应用ACL
5)保存配置
五、验证命令:
Ruijie#show access-lists 1 查看ACL的配置
ip access-list standard 1
10 permit 192.168.2.0 0.0.0.255
20 deny any
Ruijie#show ip access-group 查看ACL在接口下的应用
ip access-group 1 in
Applied On interface GigabitEthernet 0/24.
2、扩展ACL
一、组网需求:
禁止vlan 2访问vlan3,但192.168.2.1这个地址不受限制。
二、组网拓扑
三、配置要点:
Ruijie(config)#access-list 100 per tcp any any eq 80
2)扩展ACL号为100-199和2000-2699
四、配置步骤:
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#vlan 2 ------>创建vlan 2
Ruijie(config-vlan)#exit
Ruijie(config)#vlan 3
Ruijie(config-vlan)#exit
1.2)划分接口到相应vlan下
Ruijie(config)#interface GigabitEthernet 0/1
Ruijie(config-if-GigabitEthernet 0/1)# switchport access vlan 2
Ruijie(config)#interface GigabitEthernet 0/5
Ruijie(config-if-GigabitEthernet 0/5)# switchport access vlan 3 ------>把交换机的第23个千兆接口划入到vlan 3
1.3)配置vlan2和vlan3的svi口地址
Ruijie(config)#interface vlan 2
Ruijie(config-if-VLAN 2)#ip address 192.168.2.254 255.255.255.0 ------>配置vlan 2的网关地址
Ruijie(config-if-VLAN 2)#exit
Ruijie(config)#interface vlan 3
Ruijie(config-if-VLAN 3)#ip address 192.168.3.254 255.255.255.0 ------>配置vlan 3的网关地址
Ruijie(config-if-VLAN 3)#exit
2)配置g0/0为路由口
Ruijie(config)#interface GigabitEthernet 0/0
Ruijie(config-if-GigabitEthernet 0/0)#no switchport ------>把交换机的第一千兆接口属性改成路由接口
Ruijie(config-if-GigabitEthernet 0/0)#ip address 172.16.1.1 255.255.255.0 ------>配置ip地址
3)配置标准ACL,并在SVI口调用;
Ruijie(config)#access-list 100 permit ip host 192.168.2.1 any —>允许192.168.2.1访问所有网段
Ruijie(config)#access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 ---->不允许VLAN2网段192.168.2.0/24访问VLAN3网段192.168.3.0/24
Ruijie(config)#access-list 100 permit ip any any ------>ACL默认最后一句是deny ip any any ,故为保证其他数据能通过必须配置一条permit ip any any
Ruijie(config)#interface vlan 2
Ruijie(config-if-VLAN 2)#ip access-group 100 in ------>在 vlan2的网关上应用ACL
4)保存配置
五、验证命令
Ruijie#show access-lists 100 查看ACL的配置
ip access-list extended 100
10 permit ip host 192.168.2.1 any
20 deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
30 permit ip any any
Ruijie#show ip access-group 查看ACL在接口下的应用
ip access-group 100 in
Applied On interface vlan 2.
3、基于时间的ACL
一、组网需求
禁止vlan 2在每天的9:00到17:30访问vlan3,其他时间可以访问。
二、组网拓扑
三、配置要点
1)要先配置设备的时间,参考“设备维护和管理 —》设备时间设置及查看”章节
2)时间段不能跨0:00,即如果要写晚上10:00点到第二天早上7:00的时间段,需要分两段写
Ruijie(config)#time-range aaa
Ruijie(config-time-range)#periodic daily 0:00 to 7:00
Ruijie(config-time-range)#periodic daily 22:00 to 23:59
四、配置步骤
1)配置vlan 、svi口地址(vlan网关),接口划分到相应vlan里:
1.1)新建vlan 2、3
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#vlan 2 ------>创建vlan 2
Ruijie(config-vlan)#exit
Ruijie(config)#vlan 3
Ruijie(config-vlan)#exit
1.2)划分接口到相应vlan下
Ruijie(config)#interface GigabitEthernet 0/1
Ruijie(config-if-GigabitEthernet 0/1)# switchport access vlan 2
Ruijie(config)#interface GigabitEthernet 0/5
Ruijie(config-if-GigabitEthernet 0/5)# switchport access vlan 3 ------>把交换机的第23个千兆接口划入到vlan 3
1.3)配置vlan2和vlan3的svi口地址
Ruijie(config)#interface vlan 2
Ruijie(config-if-VLAN 2)#ip address 192.168.2.254 255.255.255.0 ------>配置vlan 2的网关地址
Ruijie(config-if-VLAN 2)#exit
Ruijie(config)#interface vlan 3
Ruijie(config-if-VLAN 3)#ip address 192.168.3.254 255.255.255.0 ------>配置vlan 3的网关地址
Ruijie(config-if-VLAN 3)#exit
2)配置g0/0为路由口
Ruijie(config)#interface GigabitEthernet 0/0
Ruijie(config-if-GigabitEthernet 0/0)#no switchport ------>把交换机的第一千兆接口属性改成路由接口
Ruijie(config-if-GigabitEthernet 0/0)#ip address 172.16.1.1 255.255.255.0 ------>配置ip地址
3)配置时间段
4)配置标准ACL,并在svi口调用
Ruijie(config)#access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 time-range one ---->配置禁止vlan 2网段192.168.2.0/24用户在每天的8:00到18:00访问vlan3网段192.168.3.0/24
Ruijie(config)#access-list 100 permit ip any any------>ACL默认最后一句是deny ip any any ,故为保证其他数据能通过必须配置一条permit ip any any
Ruijie(config)#interface vlan 2
Ruijie(config-if-VLAN 2)#ip access-group 100 in ------>在接口下调用ACL,应用在in的方向
- 保存配置
五、验证命令
Ruijie#show access-list 100 查看ACL的配置
ip access-list extended 100
10 deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 time-range one (inactive)
20 permit ip any any
Ruijie#show time-range one 查看时间段的配置
time-range entry: one (inactive)
periodic Daily 9:00 to 17:30
Ruijie#show ip access-group 查看ACL在接口下的应用
ip access-group 100 in
Applied On interface vlan 2.
4、基于MAC的ACL
一、组网需求
过滤vlan 2里的0050.7966.6803这个mac地址,即此物理地址的数据不允许它访问其他vlan
二、组网拓扑
三、配置要点
1)配置vlan ,svi口地址,接口划分到相应vlan里;
2)配置ACL,并在vlan 2调用;
四、配置步骤
1)配置vlan 、svi口地址(vlan网关),接口划分到相应vlan里:
1.1)新建vlan 2
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#vlan 2 ------>创建vlan 2
Ruijie(config-vlan)#exit
1.2)划分接口到相应vlan下
1.3)配置vlan2的svi口地址
Ruijie(config)#interface vlan 2
Ruijie(config-if-VLAN 2)#ip address 192.168.2.254 255.255.255.0 ------>配置vlan 2的网关地址
Ruijie(config-if-VLAN 2)#exit
2)配置ACL,并在vlan 2调用
Ruijie(config)#access-list 700 deny host 0050.7966.6803 any ------> 拒绝mac地址是0050.7966.6803 访问任意地址
Ruijie(config)#access-list 700 per any any
Ruijie(config)#interface vlan 2
Ruijie(config-if-VLAN 2)#mac access-group 700 in ------>把 ACL 700应用在in方向(SVI上只能应用在in方向)
3)保存配置
五、验证命令:
Ruijie#show access-lists 700 查看ACL配置
mac access-list extended 700
10 deny host 0050.7966.6803 any etype-any
20 permit any any etype-any
Ruijie#show access-group 查看ACL接口下的应用
mac access-group 700 in
Applied On interface VLAN 2
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
如需转载请保留出处:https://bianchenghao.cn/bian-cheng-ji-chu/84578.html