锐捷设备调试手册.doc-道客多多

资源描述

1、锐捷 RGNOS CookBook v1.1锐捷网络远程支持中心制作锐捷 RGNOS CookBook2前言锐捷RGNOS CookBook这本书的特点就是可以帮助你快速找到解决问题的方法，而不需要你从大量的文档中去查找，你可以现学现卖，就像菜谱一样，照着里面的步骤去做就行了，当然也要注意下里面的参考注释。这本锐捷 RGNOS Cookbook 就是专注于锐捷RGNOS 系统配置的，可以当做一本应急手册来使用，也可以逐篇阅读，因为里面很多小技巧也许你从来没有注意过。本书是基于锐捷 RGNOS 10.X 为基础进行撰写，在内容上更新在于涵盖了 RGNOS 10.2(2) 的新特性，原有的内容还

2、继续保留，毕竟锐捷的很多配置向后兼容，只是特别注明了一些新选项而已，我们将定期进行更新和充实内容，希望对你能所帮助，同时也希望你能够喜欢她。锐捷 RGNOS CookBook3目录第一章：设备配置和文件管理 41.1 通过 TELNET 方式来配置设备 .41.2 通过 SSH 的方式管理交换机 51.3 更改 IOS 命令的特权等级 71.4 设备时钟设置 71.5 动态时钟设置（NTP） 7第二章：交换机基础配置 82.1 交换机 vlan 和 trunk 的配置 .82.2 turnk 接口修剪配置 .92.3 PVLAN 配置 102.4 端口汇聚配置 112.5 生成树配置 .12

3、2.6 端口镜像配置 132.7 交换机上配置 CPU 保护 132.8 交换机上配置防攻击的系统保护（System Guard 功能） 142.9 交换机上启用 IP Source Guard152.10 交换机上启用 IPV6162.11 IPV6 静态路由配置 162.12 IPV6 隧道配置 172.13 交换机上启用 RLDP 防环检测配置 182.14 交换机上配置 VRRP .192.15 交换机上保护端口的配置 202.17 交换机上启用 WEB 管理功能 .222.19 交换机上配置 Hybrid 接口 .24第三章：交换机防止 ARP 欺骗配置 263.1 交换机地址绑定（

4、address-bind）功能 263.2 交换机端口安全功能 263.3 交换机 arp-check 功能 .273.4 交换机 ARP 动态检测功能(DAI) .28第四章：访问控制列表配置（ACL） 284.1 标准 ACL 配置 .294.2 扩展 ACL 配置 294.3 VLAN 之间的 ACL 配置 .304.4 单向 ACL 的配置 314.5 时间段控制 ACL 配置 324.6 MAC 访问控制列表配置 .33第五章：应用协议配置 345.1 DHCP 服务配置 345.2 交换机 dot1x 认证配置 .365.3 交换机 GSN 安全通道配置 .385.4 交换机 80

5、2.1x 认证逃生配置 .395.5 QOS 限速配置 39锐捷 RGNOS CookBook45.6 IPsec 配置 .405.7 GRE 配置 425.8 PPTP 配置 425.9 路由器 L2TP 配置 435.10 路由器 NAT 配置 .445.11 锐捷交换机 SNMP 配置 .45第六章：路由协议配置 466.1 默认路由配置 476.2 静态路由配置 476.3 浮动路由配置 476.4 策略路由配置 476.5 OSPF 配置 .486.6 OSPF 中 router ID 配置 .49第一章：设备配置和文件管理1.1 通过 TELNET 方式来配置设备提问：如何通过 t

6、elnet 方式来配置设备？回答：步骤一：配置 VLAN1 的 IP 地址S5750en -进入特权模式S5750#conf -进入全局配置模式S5750(config)#int vlan 1 -进入 vlan 1 接口S5750(config-if)#ip address 192.168.0.230 255.255.255.0 -为 vlan 1 接口上设置管理 ip S5750(config-if)#exit -退回到全局配置模式步骤二：配置 telnet 密码S5750(config)#line vty 0 4 -进入 telnet 密码配置模式S5750(config-line)#lo

7、gin -启用需输入密码才能 telnet 成功锐捷 RGNOS CookBook5S5750(config-line)#password rscstar -将 telnet 密码设置为rscstarS5750(config-line)#exit -回到全局配置模式S5750(config)#enable secret 0 rscstar -配置进入特权模式的密码为 rscstar1.2 通过 SSH 的方式管理交换机提问：如何通过 SSH 的方式管理交换机回答：第一步:全局开启 SSH 服务，并制定 SSH 的版本Ruijie#conf tRuijie(config)#enable serv

8、ice ssh-server -开启 SSH 服务，默认关闭Ruijie(config)#ip ssh version 2 -默认 1.99 版本，设置为版本2第二步：添加登陆的用户名和密码Ruijie(config)#username ruijie password ruijie第三步：生成加密密钥：Ruijie(config)#crypto key generate ? -加密方式有两种：DSA 和RSAdsa Generate DSA keysrsa Generate RSA keysRuijie(config)#crypto key generate rsa Choose the si

9、ze of the key modulus in the range of 360 to 2048 for yourSignature Keys. Choosing a key modulus greater than 512 may takea few minutes.How many bits in the modulus 512: -指定加密的位数即加密强度，默认是 512位% Generating 512 bit RSA1 keys .ok锐捷 RGNOS CookBook6% Generating 512 bit RSA keys .ok第四步：在 VTY 线程下条用Ruijie(c

10、onfig)#lin vty 0 4Ruijie(config-line)#loginRuijie(config-line)#password ruijie -设置登陆密码为ruijieRuijie(config-line)#transport input ssh -设置传输模式是 SSH调试命令：Ruijie#show ip ssh -查看 SSH 的参数信息（版本信息，重认证次数等参数）SSH Enable - version 2.0Authentication timeout: 120 secs; Authentication retries: 3Ruijie#show ssh -查看

11、SSH 的在线用户信息（加密算法，状态，用户名等消息）Connection Version Encryption Hmac State Username0 2.0 aes256-cbc hmac-sha1 Session started ruijie登陆验证：在 secure 上建立连接：输入密码：锐捷 RGNOS CookBook7登陆成功：1.3 更改 IOS 命令的特权等级提问：如何只允许 dixy 这个用户使用与 ARP 相关的命令？回答：S5750(config)#username dixy password dixy -设置 dixy 用户名和密码S5750(config)#use

12、rname dixy privilege 10 -dixy 帐户的权限为10S5750(config)#privilege exec level 10 show arp -权限 10 可以使用 show arp 命令S5750(config)#privilege config all level 10 arp -权限 10 可以使用所有 arp 打头的命令S5750(config)#line vty 0 4 -配置 telnet 登陆用户S5750(config-line)#no password S5750(config-line)#login local 注释：15 级密码为 enable

13、特权密码，无法更改， 0 级密码只能支持disable，enable，exit 和 help，1 级密码无法进行配置。1.4 设备时钟设置提问：如何设置设备时钟？锐捷 RGNOS CookBook8回答：S5750#clock set 12:45:55 11 25 2008 -设置时间为 2008 年 11 月 25 日 12 点 45 分 55 秒S5750#clock update-calendar -设置日历更新S5750(config)#clock timezone CN 8 22 -时间名字为中国，东 8 区 22分1.5 动态时钟设置（NTP）提问：如何为交换机设置 NTP？回答

14、：1、在设备上设置 DNS 地址。ruijie(config)# ip name-server 202.98.96.68 设置当地 DNS 地址2、为 NTP 客户端指定一个 NTP 服务器:ruijie(config)#ntp server 192.168.210.222 指定服务器 IP 地址，本例假设时间服务器地址为 192.168.210.222ruijie(config)#ntp server ntp server time.nist.gov或者直接设置网络上的时间服务器地址3、进行 NTP 实时同步（可选） :ruijie(config)#ntp synchronize 4、将一个

15、 ID 对应的密钥配置为全局信任密钥:ruijie(config)#ntp authentication-key 6 md5 ruijieruijie(config)#ntp trusted-key 6 ruijie(config)#ntp server 192.168.210.222 key 6SNTP 设置：ruijie(config)#sntp enable 打开 SNTPruijie(config)#sntp server 192.168.210.222 设置服务器地址， sntp 不支持用域名做服务。锐捷 RGNOS CookBook9注释：NTP 用户设置设备时间与时间服务器的时间

16、同步， NTP 服务缺省是关闭的。目前我们的设备暂不支持做时钟服务器。第二章：交换机基础配置2.1 交换机 vlan 和 trunk 的配置提问：如何在交换机上划分 vlan，配置 trunk 接口？回答：步骤一：给交换机配置 IP 地址S2724G#confS2724G(config)#int vlan 1S2724G(config-if)#ip addess 192.168.0.100 255.255.255.0 -给 VLAN 1 配置 IP 地址S2724G(config-if)#no shutdown -激活该 VLAN 接口S2724G(config-if)#exitS2724G(

17、config)#ip default-gateway 192.168.0.1 -指定交换机的网关地址步骤二：创建 VLANS2724G#confS2724G(config)#vlan 10 -创建 VLAN 10S2724G(config-vlan)#exitS2724G(config)# vlan 20 -创建 VLAN 20S2724G(config-vlan)#exit步骤三：把相应接口指定到相应的 VLAN 中S2724G(config)#int gi 0/10S2724G(config-if)#switch access vlan 10 -把交换机的第 10 端口划到 VLAN 10

18、中S2724G(config-if)#exitS2724G(config)#int gi 0/20锐捷 RGNOS CookBook10S2724G(config-if)#switch access vlan 20 -把交换机的第 20 端口划到 VLAN 20 中S2724G(config-if)#exitS2724G(config)#int gi 0/24S2724G(config-if)#switch mode trunk -设置 24 口为 Trunk 模式（与三层交换机的连接口S2724G(config-if)#步骤四：保存配置S2724G(config-if)#endS2724G

19、#write2.2 turnk 接口修剪配置提问：如何让 trunk 接口只允许部分 vlan 通过？回答：Switch(config)#int fa 0/24Switch (config-if)#switch mode trunkSwitch (config-if)#switchport trunk allowed vlan remove 10,20,30-40 -不允许 VLAN10,20,30-40 通过 Trunk 口2.3 PVLAN 配置提问：如何实现几组用户之间的隔离，但同时又都能访问公用服务？回答：步骤一：创建隔离 VLANS2724G#confS2724G(config)#v

20、lan 3 -创建 VLAN3S2724G(config-vlan)#private-vlan community -将 VLAN3 设为隔离VLANS2724G(config)#vlan 4 -创建 VLAN4S2724G(config-vlan)#private-vlan community -将 VLAN4 设为隔离锐捷 RGNOS CookBook11VLANS2724G(config-vlan)#exit -退回到特权模式步骤二：创建主 VLANS2724G(config)#vlan 2 -进入 VLAN2S2724G(config-vlan)#private-vlan primar

21、y -VLAN2 为主VLAN步骤三：将隔离 VLAN 加到到主 VLAN 中VLANS2724G(config-vlan)#private-vlan association add 3-4 -将 VLAN3 和 VLAN4 加入到公用 VLAN 中，VLAN3 和 VLAN4 的用户可以访问公用接口步骤四：将实际的物理接口与 VLAN 相对应S2724G(config)#interface GigabitEthernet 0/1 -进入接口 1，该接口连接服务器或者上联设备S2724G(config-if)#switchport mode private-vlan promiscuous -

22、接口模式为混杂模式S2724G(config-if)#switchport private-vlan mapping 2 add 3-4 -将 VLAN3 和 VLAN4 映射到 VLAN2 上S2724G(config)#int gi 0/10 -进入接口10S2724G(config-if)#switchport mode private-vlan hostS2724G(config-if)#switchport private-vlan host-association 2 3 -该接口划分入 VLAN3S2724G(config)#int gi 0/20 -进入接口20S2724G(c

23、onfig-if)#switchport mode private-vlan hostS2724G(config-if)#switchport private-vlan host-association 2 4 -该接口划分入 VLAN4步骤五：完成 VLAN 的映射S2724G(config)#int vlan 2 -进入 VLAN2 的 SVI 接锐捷 RGNOS CookBook12口S2724G(config-if)#ip address 192.168.2.1 255.255.255.0 -配置 VLAN2 的 ip 地址S2724G(config-if)#private-vlan

24、mapping add 3-4 -将 VLAN3 和 VLAN4 加入到 VLAN2 中注释：1. 隔离 VLAN 的端口不能进行二层通讯，一个私有 VLAN 域中只有一个隔离 VLAN；同一群体 VLAN 的端口可以互相进行二层通信，但不能与其它群体 VLAN 中的端口进行二层通信，一个私有 VLAN 域中可以有多个群体 VLAN；混杂端口（Promiscuous Port）可以与任意端口通讯。2. S21 不支持私有 VLAN，可以通过保护端口实现类似功能3. 目前支持 Private Vlan 的交换机系列有S20、S23、S26、S27、S29 、S3750、S5750。2.4 端口汇

25、聚配置提问：如何将交换机的端口捆绑起来使用？回答：S5750#confS5750(config)#interface range gigabitEthernet 0/1 4 -同时进入 1 到 4 号接口S5750(config-if)#port-group 1 -设置为聚合口 1S5750(config)#interface aggregateport 1 -进入聚合端口1注意：配置为 AP 口的接口将丢失之前所有的属性，以后关于接口的操作只能在 AP1 口上面进行2.5 生成树配置提问：如何配置交换机的生成树？回答：锐捷 RGNOS CookBook13拓扑概况：双核心交换机 A、B，A

26、为 VLAN1-4 的根桥，B 为 VLAN5-8 的根桥，利用多生成树协议实现负载均衡。步骤一：VLAN1-4 根桥的设置switch_A#conf tswitch_A(config)#spanning-tree -开启生成树协议，默认模式为MSTPswitch_A(config)#spanning-tree mst configuration switch_A(config-mst)# instance 1 vlan 1,2,3,4 -创建实例 1，并关联 VLAN1-4switch_A(config-mst)# instance 2 vlan 5,6,7,8 -创建实例 2，并关联 VL

27、AN5-8switch_A(config)# spanning-tree mst 1 priority 4096-创设置 A 为实例 1 的根桥，即 VLAN1-4 的根桥步骤二：VLAN5-8 根桥的设置switch_B#conf tswitch_B(config)#spanning-tree -开启生成树协议，默认模式为MSTPswitch_B(config)#spanning-tree mst configuration switch_B(config-mst)# instance 1 vlan 1,2,3,4 -创建实例 1，并关联 VLAN1-4switch_B(config-mst

28、)# instance 2 vlan 5,6,7,8 -创建实例 2，并关联 VLAN5-8switch_B(config)# spanning-tree mst 2 priority 4096-创设置 B 为实例 2 的根桥，即 VLAN5-8 的根桥步骤三：其他分根桥交换机的设置switch_C#conf tswitch_C(config)#spanning-tree -开启生成树协议，默认模式为MSTPswitch_C(config)#spanning-tree mst configuration switch_C(config-mst)# instance 1 vlan 1,2,3,4

29、 -创建实例 1，并关联 VLAN1-4switch_C(config-mst)# instance 2 vlan 5,6,7,8 -创建实例 2，并关联 VLAN5-8锐捷 RGNOS CookBook14switch_C(config)# int g0/1 -在接入终端 PC 的端口上配置switch_C(config-if)# spanning-tree bpduguard enableswitch_C(config-if)# spanning-tree portfast注释：1. 配置完成后，可用命令 show spanning-tree interface g0/24 ，show s

30、panning-tree summary 等查看生成树的相关状态。2.6 端口镜像配置提问：如何配置交换机的端口镜像？回答：switch#conf tswitch#(config)#switch (config)# monitor session 1 source interface gigabitEthernet 3/1 both -监控源口为 g3/1 switch (config)# monitor session 1 destination interface gigabitEthernet 3/8 switch -监控目的口为 g3/8，并开启交换功能注意：S2026 交换机镜像目的

31、端口无法当做普通接口使用2.7 交换机上配置 CPU 保护提问：如何开启交换机的 CPU 保护功能？回答：1、带宽的配置过程：Ruijie(config)#cpu-protect type bpdu pps 200 -设置 BPDU 报文的转发速率为200pps2、优先级的配置过程：Ruijie(config)# cpu-protect type bpdu pri 7 -设置 BPDU 报文转发优先级为7注释：锐捷 RGNOS CookBook15可配置的报文类型有：arp ,bpdu , dhcp , ipv6mc , igmp , rip , ospf ,vrrp , pim , err-

32、ttl , unknown-ipmc；通过执行 no cpu-protect type 命令，可以把报文的最大带宽和优先级设置恢复为默认值。2.8 交换机上配置防攻击的系统保护（System Guard 功能）提问：如何开启交换机的 System Guard 功能？回答：Ruijie#conf tEnter configuration commands, one per line. End with CNTL/Z.Ruijie(config)#int g0/1 -进入需要配置 System Guard 功能的接口Ruijie(config-if-GigabitEthernet 0/1)#sys

33、tem-guard enable-开启 System Guard 功能Ruijie(config-if-GigabitEthernet 0/1)#system-guard isolate-time 600 -配置非法用户的隔离时间。取值范围为 30 秒到 3600 秒，缺省值为 120 秒Ruijie(config-if-GigabitEthernet 0/1)# system-guard same-dest-ip-attack-packets 100 -配置对某个不存在的 IP 不断的发 IP 报文进行攻击的最大阈值Ruijie(config-if-GigabitEthernet 0/1)#

34、 system-guard scan-dest-ip-attack-packets 100-配置对一批 IP 网段进行扫描攻击的最大阈值Ruijie(config-if-GigabitEthernet 0/1)#exit -退出到全局模式Ruijie(config)#system-guard detect-maxnum 200 -设置监控主机的最大数Ruijie(config)#system-guard exception-ip 192.168.1.1/24-添加防攻击功能的特例 IP 地址Ruijie(config)#exit -退出到特权模式Ruijie#clear system-guar

35、d -清除所有已被隔离用户Ruijie#clear system-guard interface g0/1 -清除该端口下被隔离的所有用户Ruijie#clear system-guard interface g0/1 192.168.1.1锐捷 RGNOS CookBook16-清除该接口下被隔离的指定 IP 用户注意：设置设备监控攻击主机的最大数。一般来说，这个数目保持在“实际运行的主机数的20”左右即可。但是，如果您发现被隔离的主机数已经达到或接近监控的主机数最大数，那可以扩大监控主机的数目，以达到更好的保护系统的要求。对于已经被隔离的 IP，即使该 IP 在配置的特例 IP 范围内，在

36、该 IP 被老化之前仍会处于被隔离状态，如果您想要允许该 IP 的报文发往 CPU，可以用 clear system-guard 命令来解除对该 IP 的隔离。可以用 show system-guard isolated-ip 来查看系统保护被隔离的 IP 的信息2.9 交换机上启用 IP Source Guard 提问：如何开启交换机的 IP Source Guard 功能功能？回答：1、开启 DHCP Snooping 功能。Ruijie#configure terminal -进入全局配置模式Ruijie(config)#ip dhcp snooping -打开 dhcp-snoopin

37、g 功能2、将上链口设置为 DHCP SNOOPING 信任口。Ruijie(config)#interface gigabitEthernet 0/1 -进入接口配置模式Ruijie(config-if-GigabitEthernet 0/1)#ip dhcp snooping trust -设置 dhcp-snooping 可信端口Ruijie(config-if-GigabitEthernet 0/1)#exit3、在直连 PC 的端口上开启 IP Source Guard 功能Ruijie(config)#interface gigabitEthernet 0/2 -进入接口配置模式R

38、uijie(config-if-range)#ip verify source port-security -打开端口上的 IP Source Guard 功能，port-security 将配置 IP 报文为基于 IP + MAC 的过滤Ruijie(config-if-range)#exit4、配置静态绑定用户（网络中存在合法的使用静态 IP 地址的用户时需对此用户手动绑定）锐捷 RGNOS CookBook17Ruijie(config)#ip source binding 0000.0000.0001 vlan 1 192.168.216.4 interface gigabitEthe

39、rnet 0/2 -静态绑定一个用户注意：IP Source Guard 功能基于 DHCP Snooping 功能，也就是说基于端口的 IP SourceGuard 仅在 DHCP Snooping 控制范围内的非信任口上生效。IP Source Guard 功能必须与 DHCP Snooping 功能结合使用。2.10 交换机上启用 IPV6提问：如何开启交换机的 IPV6 协议栈？回答：S3760(config) #interface giga 0/1S3760(config-if-GigabitEthernet 0/1)#no switchport -切换为三层口S3760(confi

40、g-if-GigabitEthernet 0/1)#ipv6 enable -开启 IPV6 功能S3760(config-if-GigabitEthernet 0/1)# ipv6 address 2001：1/64 S3760(config-if-GigabitEthernet 0/1)# no ipv6 suppress-ra -允许 RA 报文发送注意：1）缺省在接口上不主动发送路由器公告报文，如果想允许路由器公告报文的发送可以在接口配置模式下使用命令 no ipv6 nd suppress-ra 。 2）为了能够使节点无状态地址自动配置能够正常工作，路由器公告报文中公告的前缀的

41、长度必须为 64 比特。2.11 IPV6 静态路由配置提问：IPV6 静态路由怎么配置？回答：S3760(config) # ipv6 route 2001：20：/64 2001：2 锐捷 RGNOS CookBook18-格式：ipv6 route 子网/掩码下一跳2.12 IPV6 隧道配置提问：IPV6 手工隧道如何配置？回答：S3760(config) #interface Tunnel 1S3760(config-if-Tunnel 1)#ipv6 enable -使能 IPV6 协议栈S3760(config-if-Tunnel 1)#tunnel source 10.1.1

42、.1 -指定隧道源 IPV4 地址S3760(config-if-Tunnel 1)#tunnel destination 10.1.1.2 -指定隧道目的 IPV4 地址S3760 (config-if-Tunnel 1)#tunnel mode ipv6ip -使能手工隧道提问：6to4 隧道如何配置？回答：S3760 (config) #interface Tunnel 1S3760 (config-if-Tunnel 1)#ipv6 enableS3760 (config-if-Tunnel 1)# ipv6 address 2002:1414:1401:1/64 -配置 6to4 地

43、址S3760 (config-if-Tunnel 1)# tunnel source 20.20.20.1 -指定隧道源 IPV4 地址S3760 (config-if-Tunnel 1)# tunnel mode ipv6ip 6to4 -使能 6to4 隧道注意：6to4 地址内嵌的 IPV4 地址不能为私有的 IPV 地址（如10.0.0.0/8、172.16.0.0/12、 192.168.0.0/16 网段地址）必须是全局的 IPV4 地址提问：ISATAP 隧道如何配置？回答：锐捷 RGNOS CookBook19S3760 (config) #interface Tunnel 1

44、S3760 (config-if-Tunnel 1)#ip address 192.168.30.254 255.255.255.0S3760 (config-if-Tunnel 1)# ipv6 address 2001:30:1/64S3760 (config-if-Tunnel 1)#ipv6 enable -使能 IPV6 协议栈S3760 (config-if-Tunnel 1)# no ipv6 nd suppress-ra -允许发送 RA 报文S3760 (config-if-Tunnel 1)# tunnel source 192.168.30.254 -指定隧道源 IPV4 地址S3760 (config-if-Tunnel 1)# tunnel mode ipv6ip isatap -使能 isatap 隧道注意：设备上允许同时配置多个 ISATAP 隧道，但是每个 ISA

展开阅读全文