神州设备使用笔记
第一部分 交换机配置
一、基础配置
1、模式进入
Switch>
Switch>en
Switch#config
Switch(Config)#interface ethernet 0/2
2、配置交换机主机名
命令:hostname <主机名>
3、配置交换机IP地址
Switch(Config)#interface vlan 1
Switch(Config-If-Vlan1)#ip address 10.1.128.251 255.255.255.0
Switch(Config-If-Vlan1)#no shut
4、为交换机设置Telnet授权用户和口令:
登录到Telnet的配置界面,需要输入正确的用户名和口令,否则交换机将拒绝该Telnet用户的访问。该项措施是为了保护交换机免受非授权用户的非法操作。若交换机没有设置授权Telnet用户,则任何用户都无法进入交换机的Telnet配置界面。因此在允许Telnet方式配置管理交换机时,必须在Console的全局配置模式下使用命令username privilege [password (0 | 7) ] 为交换机设置Telnet授权用户和口令并使用命令authentication line vty login local打开本地验证方式,其中privilege选项必须存在且为15。
例:
Switch>enable
Switch#config
Switch(config)#username test privilege 15 password 0 test //privilege level 15,即管理员权限;密码以明文形式存储,这里的"0"表示明文,密码为“test”。
Switch(config)#authentication line vty login local
Switch(config)#telnet-user test password 0 test
Switch (config)#telnet-server enable://启动远程服务功能
5、配置允许Telnet管理交换机的地址限制(单独IP或IP地址段)
(1)限制单个IP允许Telnet登录交换机
switch(config)#authentication security ip 192.168.1.2
(2)限制允许IP地址段Telnet登录交换机
switch(config)#access-list 1 permit 192.168.1.0 0.0.0.255
switch(config)#authentication ip access-class 1 in
6、为交换机设置Web授权用户和口令:web-user <用户名>password {0|7} <密码>
例:
Switch(Config)#web-user admin password 0 digital
7、设置系统日期和时钟:clock set HH:MM:SS <YYYY/MM/DD>
8、设置退出特权用户配置模式超时时间
exec timeout //单位为分钟,取值范围为0~300
9、保存配置:write
10、显示系统当前的时钟:
Switch#show clock
11、指定登录用户的身份是管理级还是访问级
Enable [level {visitor|admin} [<密码>]]
这里的 level 参数指定了要提升到的权限等级:
visitor:可能表示只读访问或者有限的访问权限,适用于那些只需要查看信息而不需要修改配置的用户。
admin 或者 15(在Cisco设备中常见):通常指最高权限级别,即管理员权限,允许对设备进行全面配置和管理操作。
12、指定登录配置模式的密码:Enable password level {visitor|admin}
13、配置交换机的用户名密码:username admin privilege 15 password 0 admin000
14、配置enable密码为ddd:enable password 0 ddd level 15
15、配置登录时认证:authentication line vty login local
16、设置端口的速率和双工模式(接口配置模式下)
命令:
speed-duplex {auto | force10-half | force10-full | force100-half | force100-full |
{{force1g-half | force1g-full} [nonegotiate [master | slave]] } }
no speed-duplex
以下是对命令选项的解释:
auto: 自动协商速率和双工模式,这是默认设置,允许端口根据连接设备的能力自动确定最佳的传输速率和是否采用全双工或半双工模式。
force10-half: 强制端口工作在10Mbps速率且为半双工模式。在这种模式下,端口在同一时刻只能进行单向的数据传输或接收,不会同时进行收发操作。
force10-full: 强制端口工作在10Mbps速率且为全双工模式。全双工意味着端口可以同时进行发送和接收数据操作,提高带宽利用率。
force100-half: 同理,强制端口工作在100Mbps速率且为半双工模式。
force100-full: 强制端口工作在100Mbps速率且为全双工模式。
force1g-half 和 force1g-full: 类似地,强制端口工作在1000Mbps(即千兆)速率下的半双工或全双工模式。
[nonegotiate]:如果与该选项一起使用,则表示关闭自动协商功能,即使对方设备支持自动协商,也会按照指定的速率和双工模式运行。
[master | slave]:某些情况下可能会有关于端口同步状态的选项,但在标准的以太网接口中并不常见。"master"和"slave"通常出现在同步或聚合等场景中,用来指示端口在链路聚合中的角色。
no speed-duplex: 使用此命令将取消先前对端口速度和双工模式的手动配置,并恢复到自动协商状态。
二、单交换机VLAN划分
1、VLAN基本配置
(1)新建VLAN:
vlan <VLAN编号>
(2)命名VLAN:
name <VLAN名称>
(3)为VLAN 分配交换机端口
interface Ethernet 0/2
switchport mode access
switchport access vlan <VLAN编号>
(4)设置Trunk 端口允许通过VLAN:
interface Ethernet 0/0/5
switchport mode trunk
switchport trunk allowed vlan add <VLAN列表>
Switch(Config-ethernet0/0/5)#switchport trunk allowed vlan 1;3;5-20
2、划分VLAN:
(1)进入相应端口:
Switch(config)#interface Ethernet 0/2
(2)修改模式:
Switch(Config-ethernet0/0/5)switchport mode access
(3)划分VLAN:
Switch(Config-ethernet0/0/5)#switchport access vlan 4
三、跨交换机VLAN划分(两台交换机作相同操作)
1、新建VLAN(同上)
2、划分VLAN(同上)
3、修改链路模式
(1)进入相应端口:
Switch(config)#interface Ethernet 0/1
(2)修改模式:
Switch(config-if)#switchport mode trunk
四、VLAN间主机的通信
1、新建VLAN(同上)
2、划分VLAN(同上)
3、修改链路模式
(1)进入相应端口:
Switch(config)#interface Ethernet 0/1
(2)修改模式:
Switch(config-if)#switchport mode trunk
注意:如果是三层交换机,在修改模式先封装802.1协议:
Switch(config-if)#switchport trunk encapsulation dot1q
4、建立VLAN子接口
(1)、进入VLAN接口模式:
Switch(config)#interface vlan 2
//这条命令将配置环境切换到VLAN 2的虚接口(也称为SVI - Switched Virtual Interface)。在三层交换机中,每个VLAN都可以创建一个对应的逻辑接口,以便为该VLAN提供路由功能。
(2)、设置VLAN子接口地址:
Switch(config-if)#ip address 192.168.0.1 255.255.255.0
//此命令用于给VLAN 2的虚接口分配一个IP地址和子网掩码。这样,该VLAN内的主机可以通过这个IP地址作为默认网关进行三层通信,从而实现不同VLAN间的互通。
(3)、打开端口:
Switch(config-if)#no shutdown
5、设置各主机IP地址、子网掩码、网关
注意:(1)各主机IP地址应与其所在的VLAN在同一网段。
(2)192.168.0.1/24中的“24”表示子网掩码为3个255。
(3)主机所在的VLAN的子接口地址就是主机的网关。
五、端口安全配置
1、启用和禁用端口安全功能:
启用:
Switch(config-if)# switchport port-security
禁用:
Switch(config-if)# no switchport port-security
2、设置接口上安全地址的最大个数(1~128)
Switch(config-if)#switchport port-security maximum 1
3、设置处理违例的方式
Switch(config-if)#switchport port-security violation shutdown
//当发生端口安全违规时,交换机会采取的动作是将违规的接口关闭(shutdown)
4、手工配置接口上的安全地址
Switch(config-if)#switchport port-security mac-address 00d0.d373.B060
//命令用于手工配置接口上的静态安全MAC地址。
5、查看安全配置:
Switch#show port-security
六、设置广播风暴抑制功能
Switch(Config)#broadcast-suppression
参数:代表每秒钟允许通过的广播数据报的个数,取值范围为1~262143。
七、端口聚合
1、创建port group:
Switch(Config)#port-group 1 //数字范围1-16
2、把物理端口加入组:
Switch(Config-Ethernet0/0/1)#port-group 1 mode on
//指定具体的物理端口(此处为Ethernet0/0/1)加入到之前创建的编号为1的端口组,并启用该端口参与链路聚合。
3、进入port-channel 配置模式:
Switch(Config)#interface port-channel 1
//进入port-channel接口配置模式,这个接口代表由端口组1中的所有物理端口组合而成的逻辑接口(也称为Port Channel或Trunk Group)。
4、修改链路模式:
switchport mode trunk
//在port-channel接口配置模式下,这条命令将整个聚合链路设置为“trunk”模式,意味着该链路允许通过多个VLAN的数据帧,即它是一个支持多VLAN通信的干线接口。这样配置后,该Port Channel能够承载来自不同VLAN的流量,从而实现跨VLAN间的通信。
第二部分 路由器配置
一、路由器基本配置
1、进入特权模式:
Router>en
2、进入全局配置模式:
Router#config
3、定义路由器的名字为DCR :
Router(Config)#hostname DCR
4、特权用户的口令:
DCR (Config)#enable password 123456
5、启动远程服务功能:
DCR (Config)#telnet-server enable
6、配置远程用户的口令:
DCR (Config)#telnet admin password 7 admin
7、配置时钟频率:
Router(Config-Serial2/0)#physical-layer speed 64000
//将路由器上的 Serial 2/0 接口设置为以 64,000 kbps(即 64kbps)的速度进行数据传输。
8、配置用户登录路由器时认证:
aaa authentication login default local line enable
9、配置进入特权模式时认证:
aaa authentication enable default enable
10、配置路由器的用户名密码:
username admin password 0 admin000
11、配置进入特权模式密码:
enable password 0 admin000 level 15
二、静态路由配置
1、命令:ip route <目的IP> <子网掩码> {<接口名称>|<下一跳IP地址>} [<路由优先级>]
为路由优先级,取值范围为1~255,preference的值越小优先级越高。
Router(config)#ip route 1.1.1.0 255.255.255.0 2.1.1.1
2、默认路由
ip route 0.0.0.0 0.0.0.0{<接口名称>|<下一跳IP地址>} [<路由优先级>]
三、单臂路由
1、打开端口:
2、进入子接口配置IP地址,并封装dot1q协议到对应的VLAN。
Router_config#interface f0/0.1
Router(config_f0/0.1)#ip address 192.168.100.1 255.255.255.0
Router(config_f0/0.1)#encapsulation dot1Q 100 //封装dot1Q到VLAN 100
Route(config_f0/0.1)#exit
Router_config#interface f0/0.2
Router(config_f0/0.2)#ip address 192.168.200.1 255.255.255.0
Router(config_f0/0.2)#encapsulation dot1Q 200 //封装dot1Q到VLAN 200
Router(config_f0/0.2)#exit
四、动态路由协义配置
1、RIP协议
在DCR路由器上运行RIP路由协议的基本配置很简单,通常只需打开RIP开关、使能发送和接收RIP数据报,即按RIP缺省配置发送和接收RIP数据报(DCR路由器缺省发送RIP-II接收RIP-I和RIP-II)
(1)启动RIP协议:
Router(config)#router rip
(2)配置RIP协义版本:
Router(config-router-rip)#version 2
(3)配置接口使能发送/接收RIP数据报
Router(config-serial2/0)#ip rip work
(4)配置引入路由(缺省路由权值、配置RIP中引入其它协议的路由)
❶缺省路由权值:
Router(config-router-rip)#default-metric 3 //权值可设1-16
❷路由重分发:redistribute { static | ospf } [ metric ]
缺省情况下,路由器不引入其它路由。值指定以多大的路由权值引入路由,不指定则按缺省路由权值(default-metric)引入,取值范围1~16。
Router(config-router-rip)#redistribute ospf metric 5
//将OSPF路由以度量值5引入RIP
2、OSPF协议
(1)启动OSPF协议(必须)
Router(Config)#router ospf
(2)配置运行OSPF路由器的ID号(可选)
router id <router_id>
<router_id>为路由器ID号,以IP地址表示,点分十进制格式。缺省情况下,不配置路由器ID号,OSPF运行时从各接口的IP地址中选一个作为路由器ID号。
Router(config)#router id 1.1.1.1
(3)配置运行OSPF的网络范围(可选)
network <直连网络> <反掩码> area <区域号>
Router(Config-Router-Ospf)#network 10.0.0.0 0.0.0.255 area 1
(4)配置接口所属的域(必须)
ip ospf enable area <area_id>
要在某一个接口上运行OSPF协议,必须首先指定该接口属于一个区域。此命令用来在接口配置所属域。<area_id>为该接口所属区域的区域号。缺省情况下,接口不配置成属于某个区域。
Router(Config-Serial2/0)#ip ospf enable area 1
(5)配置OSPF引入路由参数
❶配置引入外部路由的缺省参数(缺省类型、缺省标记值、缺省代价值、缺省时间间隔和缺省数量上限)
缺省类型:default redistribute type { 1 | 2 }
Router(Config-Router-Ospf)# default redistribute type 1
缺省标记值:default redistribute tag //范围1~2147483647
Router(Config-Router-Ospf)# default redistribute tag 0x80000001
缺省代价值:default redistribute cost //范围1~65535
Router(Config-Router-Ospf)# default redistribute cost 10
缺省时间间隔:default redistribute interval //范围1~65535
Router(Config-Router-Ospf)# default redistribute interval 3
缺省数量上限:default redistribute limit //范围1~65535
Router(Config-Router-Ospf)# default redistribute limit 100
❷配置在OSPF中引入其它协议的路由(路由重分发)
redistribute ospfase { connected | static | rip } [ type { 1 | 2 } ] [ tag ] [ metric <cost_value> ]
connected表示引入直连路由作为外部路由信息,static表示引入静态路由作为外部路由信息,rip表示引入RIP协议发现路由作为外部路由信息;type指定路由的代价类型,1和2分别表示第一类外部路由和第二类外部路由;tag指定路由的标记,为路由的标记值,取值范围12147483648;metric指定路由的代价,<cost_value>为路由的代价值,取值范围116777215。缺省情况下,OSPF不引入外部路由。
Router(Config-Router-Ospf)#redistribute ospfase rip type 1 tag 3 metric 20
3、策略路由
❶ 新建源网络访问控制列表
Router(config)#ip access-list net1
Router(config)# permit 10.1.1.0 0.0.0.255
❷设置路由表
Router(config)#route-map pbr //建立路由表,名字为PBR
Router(config-route-map)#Match ip address net1 //配置匹配该路由表的网络
Router(config-route-map)#Match length 150 1500 //设置报文的长度范围
Router(config-route-map)#Set ip next-hop 192.168.50.1 //下一跳地址
❸应用到接口
Router(config)#int g0/4
Router(config)#ip policy route-map pbr
五、网络地址转换
设置指定接口作为网络地址转换的限定接口:ip nat {inside|outside}
Router#config
Router(config)#interface ethernet 0
Router(config-ethernet0)#ip nat inside
配置静态NAT/NAPT映射
NAT:ip nat inside source static <内部本地地址 > <内部全局地址>
Router(config)#ip nat inside static source 10.1.1.1 1.1.1.1
NAPT: Router(config)#ip nat inside source static tcp 192.168.1.7 1024 200.8.7.3 1024
Router(config)#ip nat inside source static udp 192.168.1.7 1024 200.8.7.3 1024
配置动态NAT/NAPT映射
(1)配置允许进行地址转换的内部私有地址;
Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255
(2)配置动态NAT地址转换使用的外部公有地址的地址池;
Router(config)#ip nat pool pool-1 1.1.1.1 1.1.1.10 netmask 255.255.255.0
(3)建立内部私有地址与地址池或NAT外部接口的映射关系
Router(config)#ip nat inside source list 1 pool pool-1 overload
六、PPP协议配置
PPP(Point-to-Point Protocol)协议是为在点到点链路上传输数据包而设计的,它是在点到点链路上承载网络层数据包的一种链路层协议。PPP协议可以承载多种网络层协议数据包,如IP和IPX,并提供PAP、CHAP、MS-CHAP三种安全认证方式,以防止未经许可的非法用户访问。PPP支持串口同步和异步两种模式。PPP配置,需先在接口做好基础配置(接口IP,时钟频率等。)
1、PAP:验证方建立数据库,被验证方发送相同用户名密码。
(1)验证方:
建立用户名、密码:
Router(config)#user dcr password 0 aa
进入接口,封装PPP:
Router(config-serial2/0)#encapsulation ppp
选择验证方式PAP:
Router(config-serial2/0)#ppp authentication pap
(2)被验证方:
进入接口,封装PPP:
Router(config-serial2/0)#encapsulation ppp
发送对方的用户名密码:
Router(config-serial2/0)#ppp pap sent-username dcr password 0 aa
2、CHAP:发送的用户名必须是对方主机名,双方发送的密码要一致。
(1)验证方:
建立用户名、密码:
Router(config)#user RB password aa
进入接口,封装PPP:
Router(config-serial2/0)#encapsulation ppp
选择验证方式CHAP:
Router(config-serial2/0)#ppp authentication chap
(2)被验证方:
建立用户名密码:
Router(config)#user RA password aa
进入接口,封装PPP:
Router(config-serial2/0)#encapsulation ppp
注意:神州数码设备配置必须开启AAA本地认证。
Router(config)# aaa authentication ppp default local
第三部分 其它配置
一、MSTP配置(MSTP是基于STP或RSTP的,因此在配置前应开启任一模式)
1、开启生成树
命令:spanning-tree
2、设置交换机运行生成树的模式
命令:spanning-tree mode {mstp|stp}
3、进入MSTP域配置模式
命令:spanning-tree mst configuration
4、为域命名(域配置模式)
命令:name <your_domain_name>
5、将实例应用到VLAN(域配置模式)
命令:instance <instance_id> vlan <vlan_range>
6、设置实例的优先级(在全局模式配置)
命令:spanning-tree mst priority <priority_value>
7、设置当前端口指定实例的优先级值(端口配置模式下)
命令:spanning-tree mst port-priority <priority_value>
二、ACL配置
(一)、标准的ACL
access-list 10 {deny | permit} {{<源网络> <反掩码>} | any-source | {host-source <源地址>}}
(二)、命名标准ACL
1、命名
ip access-list standard acb
2、制定规则
{deny | permit} {{<源网络> <反掩码>} | any-source | {host-source <源地址>}}
3、应用到接口
ip access-group 名称 in/out
(三)、扩展的ACL
access-list 102 {deny | permit} 协议类型 {{<源网络> <反掩码>} | any-source | {host-source<源地址>}} {{<目标网络> <反掩码>} | any-destination | {host-destination <目标主机地址>}} [precedence <优先级值(0-7)>] [tos<服务级类型(1-15)>][time-range<时间范围名称>]
(四)、命名扩展ACL
1、命名
ip access-list extended acb
2、制定规则
[no] {deny | permit} 协议类型 {{<源网络> <反掩码>} | any-source | {host-source
<源地址>}} {{<目标网络> <反掩码>} | any-destination | {host-destination <目标主机地址>}} [precedence <优先级值(0-7)>] [tos<服务级类型(1-15)>][time-range<时间范围名称>]
3、应用到接口
(五)、MAC命名扩展ACL
1、命名:mac-ip-access-list extended
2、制定规则
{deny|permit}{any-source-mac|{host-source-mac<host_smac>}|{}}
{any-destination-mac|{host-destination-mac<host_dmac>}|{}}
例:在SW3的3号接口上,要求mac为 00-FF-51-FD-AE-15的主机不能访问行政部的主机MAC地址为:E0-94-67-05-5D-84,其余主机正常访问。
mac-ip-access-list extended aaa
deny host-source-mac 00-FF-51-FD-AE-15 host-destination-mac E0-94-67-05-5D-84
3、应用到接口
ip access-group 名称 in/out
(六)、制定时间范围
1、命名
[no] time-range <time_range_name>
2、一周之内的循环时间
[no] absolute-periodic{Monday|Tuesday|Wednesday|Thursday|Friday|Saturday|
Sunday}<开始时间>to{Monday|Tuesday|Wednesday|Thursday|Friday|Saturday|
Sunday} <结束时间>
或
[no]periodic{{Monday+Tuesday+Wednesday+Thursday+Friday+Saturday+Sunday}|
daily| weekdays | weekend} <开始时间> to <结束时间>
3、绝对时间范围
[no]absolute start <开始时间> <开始日期> [end <结束时间> <结束日期>]
三、DHCP 配置
1、创建地址池
命令:ip dhcp pool <pool_name>
2、配置地址可分配的范围及其它参数
(1)配置地址可分配范围
命令:network-address [subnet-mask | prefix-length]
(2)配置地址池租用期限
命令:lease day [hour [minute]] | infinite
(3)配置DHCP客户机的缺省网关
命令:default-router <gateway_ip>
(4)配置DHCP客户机的DNS服务器地址
命令:dns-server <dns_server_ip>
(5)配置WINS服务器的地址
命令:netbios-name-server <wins_server_ip>
(6)配置DHCP客户机的节点类型
命令:netbios-node-type {b-node|h-node|m-node|p-node|}
(7)配置WWW服务器的地址
命令:option {ascii | hex | ipaddress }
(8)排除某个地址或地址范围不用于动态分配
命令:ip dhcp excluded-address <start_ip> <end_ip>
(9)配置DHCP客户机的域名
命令:domain-name <domain_name>
(10) 打开DHCP服务器Ping方式检测地址冲突的功能
命令:ip dhcp conflict ping-detection enable
3、启用DHCP服务
命令:service dhcp enable
4、DHCP手工分配
创建静态绑定关系,将特定MAC地址与固定的IP地址关联:
- 创建地址池后进入该地址池配置模式
- 绑定IP与MAC:
命令:host <ip_address>
然后指定硬件地址类型及MAC地址:
hardware-address Ethernet <mac_address>
和可选的主机名:
client-name <hostname>
5、DHCP Snooping
-
开启 DHCP Snooping 功能:
命令:ip dhcp snooping enable -
设置信任端口:
先进入端口配置模式:
interface <interface_id>
然后设置为信任端口:
ip dhcp snooping trust -
设置自动防御动作:
可能的命令格式:
ip dhcp snooping action {shutdown|blackhole} [recovery <time>]
当DHCP Snooping检测到非法DHCP活动时,可以选择关闭接口(shutdown)或丢弃数据包(blackhole),并可选择恢复时间间隔。
四、ARP配置
1、配置静态ARP 表项
Switch(Config-Vlan1)#arp 1.1.1.1 00-03-0f-f0-12-34
2、ARP GUARD
添加 ARP GUARD 地址: arp-guard ip <IP地址>
3、防ARP 扫描
1)启动防ARP 扫描功能
SwitchA(config)#anti-arpscan enable
2)配置信任/超级信任端口
SwitchA (Config-If-Ethernet0/0/2)#anti-arpscan trust port //信任端口
SwitchA (Config-If-Ethernet0/0/19)#anti-arpscan trust supertrust-port //超级信任
3)配置信任IP
SwitchA(config)#anti-arpscan trust ip 192.168.1.100 255.255.255.0
4)配置自动恢复时间
Switch(Config)#anti-arpscan recovery enable //先在交换机上启动自动恢复功能
SwitchA(config)#anti-arpscan recovery time 3600
4、设置基于端口的防ARP 扫描的接收ARP 报文的阈值
Switch(Config)#anti-arpscan port-based threshold 20
5、设置基于IP 的防ARP 扫描的接收ARP 报文的阈值
Switch(Config)#anti-arpscan port-based threshold 6
6、显示ARP 映射表:
Switch#sh arp
五、VRRP配置
(一) 在三层交换机上配置VRRP
1、进入要配置的接口(端口或虚拟子接口)
2、进入VRRP协义配置模式(两个设备的编号要一致)
DG5950(config)# router vrrp 1
3、配置虚拟网关
DG5950(config-router)#virtual-ip 192.168.100.254 //虚拟网关,两边必须一致
4、设置优先级
DG5950 (config-router)#priority 200
5、配置抢占模式(可选)
DG5950(config-router)# preempt-mode true
6、启动VRRP
DG5950(config-router)#enable
7、查看VRRP
Ruijie# show vrrp brief
(二) 在路由器上配置VRRP
1、进入要配置的子接口并配置虚拟子接口IP,封装到指定VLAN。(单臂)
RB_config#interface GigaEthernet0/3.10
RB_config-if#ip address 192.168.10.254 255.255.255.0
RB_config-if#encapsulation dot1Q 10
2、配置置虚拟网关
RB_config-if#vrrp 10 associate 192.168.10.250 255.255.255.0
3、配置优先级
RB_config-if#vrrp 10 priority 150
4、配置抢占模式(可选)
RB_config-if#vrrp 10 preempt
5、配置要监听的上行端口
RB_config-if#vrrp 10 track interface GigaEthernet0/4 30
六 、802.1X
Switch(Config)#interface vlan 1↵ //创建VLAN
Switch(Config-if-vlan1)#ip address 10.1.1.2 255.255.255.0↵ //配置IP地址
Switch(Config-if-vlan1)#exit↵
Switch(Config)#radius-server authentication host 10.1.1.3//配置认证服务器地址
Switch(Config)#radius-server accounting host 10.1.1.3↵ //配置计费服务器地址
Switch(Config)#radius-server key test↵ //配置RADIUS 认证密钥
Switch(Config)#aaa enable↵ //开启交换机的aaa认证功能
Switch(Config)#aaa-accounting enable↵ //开启交换机的计费功能
Switch(Config)#dot1x enable↵ //打开交换机全局的802.1x 功能
Switch(Config)#interface ethernet 0/0/2↵ //进入端口
Switch(Config-Ethernet0/0/1)#dot1x enable↵ //打开交换机端口的802.1x 功能
Switch(Config-Ethernet0/0/1)#dot1x port-method macbased↵ //接口的接入方式为macbased
Switch(Config-Ethernet0/0/1)#dot1x port-control auto↵ //接口的控制方式为auto
Switch(Config-Ethernet0/0/1)#exit
七、NTP配置
例:客户端
Switch(config)#ntp enable //开启NTP功能
Switch(config)#ntp server 192.168.1.11 //配置时间服务器地址
Switch(config)#ntp server 192.168.2.11 //配置时间服务器地址
八、端口镜像设置
1、指定镜像源端口:
Switch(Config)#monitor session <session_number> source interface <interface_list> {tx | rx | both}
rx表示只镜像从源端口接收到的流量(入站流量)。tx表示只镜像从源端口发送出去的流量(出站流量)。both表示同时镜像源端口的入站和出站流量。
2、指定镜像目的端口;
Switch(Config)#monitor session <session_number> destination interface <destination_interface>
例:
S4600-28P-SI(config)#monitor session 1 source interface e1/0/1
S4600-28P-SI(config)#monitor session 1 destination interface e1/0/3
九、Qos
(一)路由器的Qos
网络组件处理接收通信量溢出的一个方法是:使用队列算法对通信按照优先次序排在输出链接上。一般有:FIFO,PQ(Priority Queuing),CQ(Custom Queuing),SFQ(Fair Queuing)以及WFQ(Weighted Fair Queuing)。
1.PQ(Priority Queuing)配置任务序列
1)定义特定的访问控制列表(如果要用到它们的话)
2)创建优先级列表
priority-list protocol {high | medium | normal | low}
或:priority-list interface {high | medium | normal | low}
*任何不匹配优先级队列中任何一行的流量将被放入到缺省队列中。对于优先级队列,如果没有定义,缺省队列是normal。下面的命令用于安排一个缺省队列:
priority-list default {high | medium |normal |low}
*为了给每一个优先级队列指定所能够容纳的最大数据包个数,可以在全局配置模式下使用下面的命令:
priority-list queue-limit [ ]
3)把优先级列表应用到接口上
priority-group
4)配置接口上的驱动队列长度 (可选项)
serial queue 取值可为2、4、8和16
配置示范:配置串口1的驱动队列长度为4。
Router(config)#interface serial 2/0
Router(config-serial2/0)#serial queue 4
5)验证队列过程(可选项)
show queuing priority
例:
Router(config)#queue-list 1 protocol ip 1 tcp 23 放入到高优先级队列
Router(config)#priority-list 1 interface ethernet 0 high //接口0的流量都被放入到高优先级
Router(config)#priority-list 1 protocol ip middle //IP流量被放入到medium队列中
Router(config)#priority-list 1 protocol ipx middle //IPX流量被放入到medium队列中
Router(config)#priority-list 1 default low //缺省队列是LOW
Router(config)#priority-list 1 queue-limit 10 40 60 90 //high,middle,normal,low的10,40,60,90
2.CQ(Custom Queuing)配置任务序列
1)定义特定的访问控制列表(如果要用到它们的话)
2)创建自定义队列
queue-list protocol < keyword-value>
*使用如下命令,可以指定任何经过一特定接口进入路由器的数据流到一特定队列:
queue-list interface
3)指定自定义队列的最大容量
queue-list queue limit
使用以下命令能改变字节总数阈值:
queue-list queue byte-count
4)把自定义队列应用到接口上
custom-queue-list
5)验证队列过程(可选项)
show queuing custom
例:
Router(config)#queue-list 1 interface ethernet 0 6 //接口0的数据流放入到队列6中
Router(config)#queue-list 1 protocol ip 1 tcp 21
Router(config)#queue-list 1 protocol ip 2 //IP流量均放入到队列2中
Router(config)#queue-list 1 protocol ipx 3 IPX流量放入到队列3中
Router(config)#queue-list 1 default 5 //不匹配以上规则的流量放到队列5中
Router(config)#queue-list 1 queue 1 limit 60 //队列1要处理60个记录(数据包)
Router(config)#queue-list 1 queue 1 byte-count 4500 //队列1要处理4500个字节
(二)交换机QoS
1. 启动QoS 功能
mls qos
2. 配置分类表(classmap)
建立一个分类规则,可以按照ACL,VLAN ID,IP Precedence,DSCP(差分服务代码点)来分类。
建立一个class-map(分类表),并进入class-map 模式
class-map
设置分类表中的匹配标准;本命令的no操作为删除指定的匹配标准。
match {access-group | ip dscp | ip precedence| vlan }
3. 配置策略表(policymap)
建立一个策略表,可以对相应的分类规则进行带宽限制,优先级降低等操作。
(1)建立一个policy-map(策略表),并进入policy-map(策略表)模式;
policy-map
(2)建立一个 class(策略分类表),并进入
class
(3)为分类后的流量分配一个新的DSCP和IP Precedence 值;
set {ip dscp | ip precedence}
(4)为分类后的流量配置一个策略;
police [exceed-action {drop |policed-dscp-transmit}]
(5)定义一个集合策略,这个策略可以在同一个策略表内部被多个策略分类表使用;
mls qos aggregate-policer exceed-action {drop|policed-dscp-transmit}
(6)为分类后的流量应用一个集合策略;
police aggregate
4. 将QoS 应用到端口
配置端口的信任模式,或者绑定策略。策略只有绑定到具体的端口,才在此端口生效。
(1)配置交换机端口信任状态
mls qos trust [cos [pass-through dscp]|dscp[pass-through cos]|ip-precedence [pass-throughcos]|port priority ]
(2)配置交换机端口的缺省CoS值;
mls qos cos { }
(3)在端口上应用一个策略表
service-policy {input | output}
(4)在端口上应用 DSCP 转换映射,本命令的no 操作为恢复DSCP 转换映射的缺省值。
mls qos dscp-mutation
5. 配置出队队列工作方式和权重
将出队工作方式配置为PQ 方式或者WRR 方式,设置4 个出口队列带宽的比例,以及
内部优先级到出口队列的映射关系,都是全局命令,对所有端口生效。
(1)设置交换机所有端口出队列的WRR 权重
wrr-queue bandwidth
(2)配置队列出队工作方式,将队列配置成pq出队工作方式
priority-queue out
(3)设置CoS 值对应交换机端口出队列的映射
wrr-queue cos-map <cos1 …cos8>
6. 配置QoS 映射关系
配置cos 到dscp,dscp 到cos,dscp mutation,ip precedent 到dscp,policed-dscp
的映射关系。
设置CoS-to-DSCP 映射,DSCP-to-CoS 映射,DSCP-to-DSCP-mutation映射,IP-precedence-to-DSCP映射和policed-DSCP 映射;
mls qos map {cos-dscp <dscp1…dscp8> | dscp-cos to | dscp-mutation to |ip-prec-dscp <dscp1…dscp8> | policed-dscp to }
7.显示QoS 的集合策略配置信息。
命令:show mls qos aggregate-policer []
Switch #show mls qos aggregate-policer policer1
8.显示QoS 的全局配置信息。
命令:show mls-qos
例:在SWB上设置PCA的流量不能超过5M
第四部分 DCFW-1800系列防火墙配置
-
默认管理员帐号与密码:
- 系统出厂时,预设的管理员用户名为
admin,对应的初始密码也是admin。
- 系统出厂时,预设的管理员用户名为
-
默认管理口:
- 防火墙出厂默认设置中,用于进行设备管理和配置的第一个接口是E1口。如果设备上没有明确标记为E1的端口,则可能是GE1或S1G1口,这些名称都代表了防火墙上的第一个以太网管理接口。
-
默认IP地址及子网掩码:
- E1接口出厂时已配置了一个固定的管理IP地址:
192.168.1.1,并且使用的子网掩码为255.255.255.0。这意味着它属于192.168.1.0/24这个私有网络范围。
- E1接口出厂时已配置了一个固定的管理IP地址:
-
管理主机IP设置要求:
- 为了能够通过网络从管理主机(如PC或其他网络设备)登录并配置DCFW-1800防火墙,该主机的IP地址需要与E1口在同一网段内。也就是说,管理主机的IP地址应设置为
192.168.1.0/24范围内的一个可用IP地址(除了已经被防火墙占用的192.168.1.1外),例如可以设置为192.168.1.2并确保子网掩码也为255.255.255.0。
- 为了能够通过网络从管理主机(如PC或其他网络设备)登录并配置DCFW-1800防火墙,该主机的IP地址需要与E1口在同一网段内。也就是说,管理主机的IP地址应设置为
第五部分 无线配置
三层发现:
一、AC上的配置
1、基础配置
1)新建VLAN 10、VLAN 20,VLAN 10用于AP,VLAN 20用于无线用户;设置VLAN 10地址:192.168.10.253。
2)AC与核心交换机连接的端口改为TRUNK模式;
3)Ip route 0.0.0.0/0 192.168.10.254
2、AC上新建一个DHCP地址池,该地址池用于分配AP地址。
DCWS-6028(config)#service dhcp
DCWS-6028(config)#ip dhcp excluded-address 192.168.20.254
DCWS-6028(config)#ip dhcp pool ap
DCWS-6028(dhcp-ap-config)#network-address 192.168.10.0 255.255.255.0
DCWS-6028(dhcp-ap-config)#lease 0 1 0
DCWS-6028(dhcp-ap-config)#default-router 192.168.10.253
DCWS-6028(dhcp-ap-config)#dns-server 202.106.0.20 8.8.8.8
DCWS-6028(dhcp-ap-config)#option 43 hex 010C0A8010A //配置 option43携带AC地址,hex 01040A0A0A0A为固定格式:0104固定字符,C0A8010A代表AC的IP地址,16进制
DCWS-6028(dhcp-ap-config)#option 60 ascii udhcp 1.18.2 //配置option60对应版本属性号
3、
DCWS-6028(config)#wireless
DCWS-6028(config-wireless)#enable //打开无线功能
DCWS-6028(config-wireless)#discovery vlan-list 10 //指定VLAN发现列表
4、
DCWS-6028(config-wireless)#no auto-ip-assign //关闭无线IP地址的自动选取功能
DCWS-6028(config-wireless)#static-ip 192.168.10.253 //指定静态无线IP
DCWS-6028(config-wireless)#network 1//进入network1
DCWS-6028(config-network)#vap0 // 每个network唯一对应一个VAP,这里network1对应VAP0
DCWS-6028(config-network)#ssid dcn_wlan //配置无线ID名称为dcn_wlan
DCWS-6028(config-network)#hide ssid //隐藏ID
DCWS-6028(config-network)#vlan 20 //该 vlan 为用户vlan
DCWS-6028#wireless ap lan port configuration apply profile 1 //墙面AP面板LAN口vlan配置下发
DCWS-6028(config-wireless)#ap database 00-03-0f-19-71-e0 //添加AP的MAC地址
DCWS-6028(config-ap)#profile 1 //AP 加入profile
DCWS-6028(config-ap)#radio 1 channel 1 //固定信道
DCWS-6028(config-wireless)#ap authentication none //AP 上线认证为不认证
DCWS-6028(config-wireless)#ap authentication mac //根据AP的MAC地址认证
DCWS-6028(config-wireless)#ap profile 1 进入AP 配置文件
DCWS-6028(config-ap-profile)#hwtype 29 //AP的硬件类型,用SHOW vendor命令可查看AP类型
DCWS-6028(config-ap-profile)#lan port vlan 20 //该vlan为用户vlan
DCWS-6028(config-ap-profile)#radio 1
5、配置native vlan
DCWS-6028(config)#interface Ethernet 1/0/1-2 //AP与POE(SW3)所连接的端口
DCWS-6028(config-if-port-range)#switchport mode trunk
DCWS-6028(config-if-port-range)#switchport trunk native vlan 10 //AP所在vlan下发配置
DCWS-6028#wireless ap profile apply 1 //AP 所在 profile
DCWS-6028#wireless ap reset //重启AP
6、WEP加密方式
DCWS-6028(config-wireless)#network 1//进入网络1
DCWS-6028(config-network)#security mode static-wep //配置安全策略为静态WEP
DCWS-6028(config-network)#wep authentication share-key //配置WEP为共享密钥认证方式
DCWS-6028(config-netwrok)#wep key type ascii //wep加密类型为ascii
DCWS-6028(config-network)#wep key length 64//wep密钥长度64位
DCWS-6028(config-network)#wep key 1 12345 //密钥12345
DCWS-6028(config-network)#wep tx-key 1 //配置加密使用哪一个 share-key
7、只允许已添加MAC的终端连接AP
DCWS-6028(config-wireless)#mac-authentication-mode white-list
DCWS-6028(config-wireless)#known-client 00-11-11-11-11-11 action global-action
DCWS-6028(config-wireless)#network 1
DCWS-6028(config-network)#mac authentication local
阻止已添加MAC的终端连接AP
DCWS-6028(config-wireless)#mac-authentication-mode black-list
DCWS-6028(config-wireless)#known-client 00-22-22-22-22-22 action global-action
DCWS-6028(config-wireless)#network 1
DCWS-6028(config-network)#mac authentication local
配置完成后需下发AP生效
DCWS-6028#wireless ap profile apply 1
二、核心交换机(SW1)配置
1、基础配置
1)、核心交换机与AC连接的端口e1/0/1,与POE连接的端口为e1/0/1,e1/0/1和e1/0/1端口改为TRUNK模式
2)、新建VLAN 10和VLAN 20,并设置IP地址分别为192.168.10.254和192.168.20.254
2、核心交换机SW1上新建一个DHCP地址池,该地址池用于分配无线用户地址
DCWS-6028(config)#ip dhcp pool sta
DCWS-6028(dhcp-ap-config)#network-address 192.168.20.0 255.255.255.0
DCWS-6028(dhcp-ap-config)#lease 0 0 20
DCWS-6028(dhcp-ap-config)#default-router 192.168.20.254
DCWS-6028(dhcp-ap-config)#dns-server 202.106.0.20 8.8.8.8
DCWS-6028(config)#service dhcp
三、POE(SW3)配置
1、新建VLAN 10和VLAN 20
2、POE与核心交换机连接的端口e1/0/24,与AP连接的端口为e1/0/7,e1/0/24和e1/0/7端口改为TRUNK
3、设置与AP连接端口
DCWS-6028(config)#interface Ethernet 1/0/7
DCWS-6028(config-if-port)#switchport mode trunk
DCWS-6028(config-if-port)# switchport trunk native vlan 10 // 设置默认VLAN
4399
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
