| 锐捷常见配置 | 您所在的位置:网站首页 › 锐捷交换机远程配置 › 锐捷常见配置 |
锐捷常见配置
|
目录
交换机: 修改名称: 划分vlan: IP地址配置: 二三层口转化: 写路由: 链路聚合: MSTP: DHCP Server DHCP 中继: ACL: 用户名以密文显示 用户名密码配置 配置telnet、console分别密码和用户名密码方式登录(非AAA) 配置ssh分别密码和用户名密码方式登录(非AAA) 配置telnet、ssh、console分别密码和用户名密码方式登录(AAA) VRRP: BFD: 配置举例: 路由器: NAT: isis: ospf: 配置举例: 交换机: 修改名称:sw5>enable --进入特权模式 sw5#configure terminal --进入配置模式 sw5(config)#hostname sw5 划分vlan:sw2(config)#int g0/5 sw2(config-if-GigabitEthernet 0/5)#switchport mode ? access Set trunking mode to ACCESS unconditionally hybrid Hybrid trunk Set trunking mode to TRUNK unconditionally uplink Set mode to UPLINK sw2(config-if-GigabitEthernet 0/5)#switchport mode trunk trunk模式 sw2(config-if-GigabitEthernet 0/5)#switchport trunk ? allowed Set allowed VLAN when interface is in trunking mode native(相当于华为的pvid) Set native VLAN characteristics when interface is in trunking mode sw2(config-if-GigabitEthernet 0/5)#switchport trunk allowed vlan ? add Add VLANs to the current list all All VLANs except All VLANs except the following--除该vlan的所有vlan only Only VLANs --仅,仅允许10,20,30--。。。allowed vlan 10,20,30 remove Remove VLANs from the current list --从当前列表中清楚 举例: int gigabitEthernet 0/5 switchport mode trunk switchport trunk native vlan 10 switchport trunk allowed vlan only 10,20,30 --如果要加一个vlan 40的话,注意必须这样 switchport trunk allowed vlan only 10,20,30,40 .不能 switchport trunk allowed vlan only 40,否则就只允许40了,网络会断 举例: int gigabitEthernet 0/5 switchport mode access switchport access vlan 10 IP地址配置:sw2(config)#int vlAN 10 sw2(config-if-VLAN 10)#ip address ? A.B.C.D IP address A.B.C.D/ IP address/mask dhcp IP Address via DHCP mix Specify static and dynamic IP address compatibly
sw5(config-if-GigabitEthernet 0/5)#show this Building configuration... ! no switchport ip address 10.1.1.1 255.255.255.0 二三层口转化:sw2(config)#interface gigabitEthernet 0/5 sw2(config-if-GigabitEthernet 0/5)#no switchport 变三层 写路由:ip route 0.0.0.0 0.0.0.0 VLAN 172 172.16.1.254 ip route 0.0.0.0 0.0.0.0 172.16.1.253 61 ip route 0.0.0.0 0.0.0.0 g0/1 1.1.1.1 链路聚合:SW1>enable SW1#configure terminal SW1(config)#interface range gigabitEthernet 0/1-2 ------>同时进入到g0/1-3口配置模式 SW1(config-if-range)#port-group 1 ------>设置为AG1 SW1(config-if-range)#exit SW1(config)#interface aggregateport 1 ------>进入AG1口配置模式 SW1(config-if-AggregatePort 1)# switchport mode access ------>将AG1口配置为access口 SW1(config-if-AggregatePort 1)#switchport access vlan 10 SW1(config)#aggregateport load-balance src-dst-ip ------>更改流量平衡算法为源目ip模式,默认为源MAC+目的MAC模式 MSTP:1.先添加 vlan --sw5(config)#vlan 10 --vlan range 50,60,70 2.在相应的接口放通相应的vlan Ruijie(config)#spanning-tree --开启stp功能 Ruijie(config)#spanning-tree mst configuration Ruijie(config-mst)# instance 1 vlan 10, 20 Ruijie(config-mst)# instance 2 vlan 30, 40 Ruijie(config-mst)#spanning-tree mst 2 priority 4096 --实例2的优先级4096 sw5(config-if-GigabitEthernet 0/5)#spanning-tree mst 1 cost 2000000 --实例1在5口的cost为 2000000 DHCP Serversw5(config)#service dhcp --开启dhcp sw5(config)#ip dhcp pool vlan10 sw5(dhcp-config)#show this Building configuration... ! network 192.168.10.0 255.255.255.0 dns-server 114.114.114.114 default-router 192.168.10.254 排除地址:在全局配置 sw5(config)#ip dhcp excluded-address 192.168.10.11 sw5(config)#ip dhcp excluded-address 192.168.10.1 192.168.10.10 --范围 固定某个地址给某个终端: sw5(config)#ip dhcp pool P_192.168.10.50 sw5(dhcp-config)#show this Building configuration... ! hardware-address 5000.0012.0000(终端MAC地址) host 192.168.10.50 255.255.255.0 (终端地址) lease 1 0 0 (租期一天0分0秒) dns-server 8.8.8.8 default-router 192.168.10.254 DHCP 中继:一、组网需求 汇聚交换机为用户的网关,开启DHCP relay功能。核心交换机为网络核心设备,开启DHCP Server功能,汇聚交换机与核心交换机使用三层口互联 二、组网拓扑
三、配置要点 1、在汇聚交换机上开启DHCP relay功能,并且设置用户网关及路由信息 2、在核心交换机上开启DHCP Server功能,并且配置DHCP地址池(部分场景中,DHCP服务器为专用的服务器搭建) 3、DHCP relay所在交换机如果有开启DHCP snooping,需要额外配置 check-giaddr 四、配置步骤 核心交换机配置: 1、创建核心设备与汇聚设备的互联IP地址 Ruijie>en Ruijie#config ter Ruijie(config)#interface gigabitEthernet 0/24 Ruijie(config-if-GigabitEthernet 0/24)#no switchport Ruijie(config-if-GigabitEthernet 0/24)#ip address 172.16.1.1 255.255.255.252 Ruijie(config-if-GigabitEthernet 0/24)#exit
2、创建核心设备到汇聚设备用户网段的静态路由 Ruijie(config)#ip route 192.168.1.0 255.255.255.0 172.16.1.2
3、开启核心设备的DHCP服务功能 Ruijie(config)#service dhcp ------>该命令默认不启用,交换机必须配置
4、创建核心设备的DHCP地址池 Ruijie(config)#ip dhcp pool vlan10 Ruijie(dhcp-config)#network 192.168.1.0 255.255.255.0 ------>子网掩码要和所设置IP地址的子网掩码一致,这里都是/24位掩码 Ruijie(dhcp-config)#dns-server 218.85.157.99 ------>设置分配给客户端的DNS地址 Ruijie(dhcp-config)#default-router 192.168.1.254 ------>设置分配给用户的网关地址,这个要和汇聚设备上所设置的IP地址一致,为192.168.1.254 Ruijie(dhcp-config)#exit
5、保存配置 Ruijie(config)#end Ruijie#wr
汇聚交换机配置: 1、创建汇聚设备的IP地址,即用户的网关地址 Ruijie(config)#interface vlan 10 Ruijie(config-if-VLAN 10)#ip address 192.168.1.254 255.255.255.0 Ruijie(config-if-VLAN 10)#exit
2、创建汇聚设备与核心设备的互联IP地址 Ruijie(config)#interface gigabitEthernet 0/24 Ruijie(config-if-GigabitEthernet 0/24)#no switchport Ruijie(config-if-GigabitEthernet 0/24)#ip address 172.16.1.2 255.255.255.252 Ruijie(config-if-GigabitEthernet 0/24)#exit
3、创建汇聚设备到外网的默认路由 Ruijie(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.1
4、开启汇聚交换机的DHCP服务功能 Ruijie(config)#service dhcp ------>该命令默认不启用,交换机必须配置
5、开启汇聚交换机的DHCP relay功能 Ruijie(config)#ip helper-address 172.16.1.1 ------>该地址需要是核心交换机的IP地址,并且路由可达 6、保存配置 Ruijie(config)#end Ruijie#wr 7、注意:中继环境中,需要在有配置DHCP snooping的交换机额外配置 check-giaddr,否则会导致获取不到ip地址(实验未认证出来);DHCP snooping只能窥探非中继的DHCP报文,如果网络中有存在中继的情况,就必须要开启这个功能,方法如下 Ruijie>en Ruijie(config)#interface gigabitEthernet 0/49 Ruijie(config-GigabitEthernet 0/49)#ip dhcp snooping trust --------开启DHCP snooping的交换机所有接口缺省为untrust口,交换机只转发从trust口收到的DHCP响应报文(offer、ACK) Ruijie(config)#ip dhcp snooping check-giaddr ------>全局启动 DHCP Snooping 支持处理 Relay 请求报文功能 Ruijie(config)#end ACL:sw5(config)#ip access-list extended 100 sw5(config-ext-nacl)#show this Building configuration... ! 10 deny ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 20 deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255 30 permit ip 192.168.20.0 0.0.0.255 192.168.0.0 0.0.255.255 40 permit ip 192.168.20.0 0.0.0.255 172.16.0.0 0.0.0.255 50 permit ip 192.168.20.0 0.0.0.255 10.0.0.0 0.255.255.255 60 permit ip 192.168.10.0 0.0.0.255 any 70 permit ip host 0.0.0.0 host 255.255.255.255 80 deny ip any any interface GigabitEthernet 0/3 ip access-group 100 in --接口调用 sw5(config)#interface vlan 10 sw5(config-if-vlan 10)#ip access-group 100 in --接口调用 用户名以密文显示sw5(config)#service password-encryption 用户名密码配置sw5(config)# username ljc05 password 7 154b092c1b250c541752 username ljc05 login mode telnet username ljc05 login mode console sw5(config)#username ljc05 privilege ? User privilege level(default value: 1) 配置telnet、console分别密码和用户名密码方式登录(非AAA)配置交换机管理IP Ruijie>enable ------>进入特权模式 Ruijie#configure terminal ------>进入全局配置模式 Ruijie(config)#interface vlan 1 ------>进入vlan 1接口 Ruijie(config-if)#ip address 192.168.1.1 255.255.255.0 ------>为vlan 1接口上设置管理ip Ruijie(config-if)#exit ------>退回到全局配置模式 3)、配置telnet密码 需求一:telnet时使用密码登入交换机 (console口不受影响) Ruijie(config)#line vty 0 4 ------> 进入telnet密码配置模式,0 4表示允许共5个用户同时telnet登入到交换机 Ruijie(config-line)#login ------>启用需输入密码才能telnet成功 Ruijie(config-line)#password ruijie ------> 将telnet密码设置为ruijie Ruijie(config-line)#exit ------> 回到全局配置模式 Ruijie(config)#enable password ruijie ------>配置进入特权模式的密码为ruijie Ruijie(config)#end ------>退出到特权模式 Ruijie#write
需求二:telnet时使用用户名及密码登入交换机 (console口不受影响) Ruijie(config)#line vty 0 4 ------>进入telnet密码配置模式,0 4表示允许共5个用户同时telnet登入到交换机 Ruijie(config-line)#login local ------>启用telnet时使用本地用户和密码功能 Ruijie(config-line)#exit ------>回到全局配置模式 Ruijie(config)#username admin password ruijie --默认登录模式是所有 ( Ruijie(config)#username admin login mode ? console Console login mode only ftp Ftp login mode only ssh Ssh login mode only telnet Telnet login mode only ) ------>配置远程登入的用户名为admin,密码为ruijie Ruijie(config)#enable password ruijie ------>配置进入特权模式的密码为ruijie Ruijie(config)#end ------>退出到特权模式 Ruijie#write ------>确认配置正确,保存配置 需求三:console口时使用密码登入交换机 Ruijie(config)#line console 0 Ruijie(config-line)#show this Building configuration... ! login password ljc@123 需求四:console时使用用户名及密码登入交换机 Ruijie(config)#line console 0 Ruijie(config-line)#login local ------>启用时使用本地用户和密码功能 Ruijie(config-line)#exit ------>回到全局配置模式 Ruijie(config)#username admin password ruijie Ruijie(config)#enable password ruijie ------>配置进入特权模式的密码为ruijie Ruijie(config)#end ------>退出到特权模式 Ruijie#write ------>确认配置正确,保存配置 配置ssh分别密码和用户名密码方式登录(非AAA)1、开启交换机的SSH服务功能 Ruijie#configure terminal Ruijie(config)#enable service ssh-server
2、生成加密密钥: Ruijie(config)#crypto key generate dsa ------>加密方式有两种:DSA和RSA,可以随意选择 Choose the size of the key modulus in the range of 360 to 2048 for your Signature Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: ------>直接敲回车 % Generating 512 bit DSA keys ...[ok]
3、配置交换机的管理IP地址 Ruijie(config)#interface vlan 1 Ruijie(config-if)# ip address 192.168.1.1 255.255.255.0 需求一:SSH时仅使用密码登入交换机 Ruijie(config)#line vty 0 4 ------> 进入SSH密码配置模式,0 4表示允许共5个用户同时SSH登入到交换机 Ruijie(config-line)#login ------>启用需输入密码才能SSH成功 Ruijie(config-line)#password ruijie ------> 将SSH密码设置为ruijie Ruijie(config-line)#exit ------> 回到全局配置模式 Ruijie(config)#enable password ruijie ------>配置进入特权模式的密码为ruijie Ruijie(config)#end ------>退出到特权模式 Ruijie#write ------>确认配置正确,保存配置 ssh登录时候 出现输入用户名界面,随便输入一个用户名,我这边输入了 xxx 作为用户名
注意事项:如果要限制用户使用telnet登录,只能使用SSH登录,则需要调整配置,默认情况下telnet和SSH均可登录。 Ruijie(config)#line vty 0 4 Ruijie(config-line)#transport input ? all All protocols none No protocols ssh TCP/IP SSH protocol telnet TCP/IP Telnet protocol Ruijie(config-line)#transport input ssh 需求二:SSH时使用用户名及密码登入交换机 Ruijie(config)#line vty 0 4 ------>进入SSH密码配置模式,0 4表示允许共5个用户同时SSH登入到交换机 Ruijie(config-line)#login local ------>启用SSH时使用本地用户和密码功能 Ruijie(config-line)#exit ------>回到全局配置模式 Ruijie(config)#username admin password ruijie ------>配置远程登入的用户名为admin,密码为ruijie Ruijie(config)#enable password ruijie ------>配置进入特权模式的密码为ruijie Ruijie(config)#end ------>退出到特权模式 Ruijie#write ------>确认配置正确,保存配置
注意事项:如果要限制用户使用telnet登录,只能使用SSH登录,则需要调整配置,默认情况下telnet和SSH均可登录。 Ruijie(config)#line vty 0 4 Ruijie(config-line)#transport input ? all All protocols none No protocols ssh TCP/IP SSH protocol telnet TCP/IP Telnet protocol Ruijie(config-line)#transport input ssh 配置telnet、ssh、console分别密码和用户名密码方式登录(AAA)
Ruijie>enable Ruijie#config terminal Ruijie(config)#username admin1 password admin1 ----->配置本地用户名和密码 Ruijie(config)#username admin2 password admin2 Ruijie(config)#aaa new-model ------>开启AAA功能 Ruijie(config)#aaa authentication login default local ------>先调用本地交换机配置的用户名密码, Ruijie(config)#line vty 0 4 Ruijie(config-line)#login authentication default ------>vty模式下应用login认证 (Ruijie(config-line)#transport input ? all All protocols none No protocols ssh TCP/IP SSH protocol telnet TCP/IP Telnet protocol)--默认放通ssh、telnet Ruijie(config-line)#exit Ruijie(config)#line console 0 ------>该方法对使用console口登录的用户也同样生效 ,请根据实际情况配置,如果配置操作失误,会导致无法登陆交换机,建议line vty的配置使用telnet或者SSH验证成功之后,再到lineconsole下配置 ------配置了AAA(Ruijie(config)#aaa new-model),consele自动就会变成aaa的登录认证方式,继承上面配置的用户名和密码登录 配置前: line console 0 login password ljc@123 line vty 0 4 login local password admin@123 配置后自动如下: ! line console 0 password ljc@123 line vty 0 4 password admin@123 Ruijie(config-line)#login authentication default ------>console模式下应用login认证 Ruijie(config-line)#exit Ruijie(config)#exit Ruijie#write VRRP:创建好vlan,放通好vlan VRRP配置 核心交换机A配置: Ruijie(config)#int vlan 10 /sw5(config)#int g0/5 ---no swichport Ruijie(config-VLAN 10)#ip address 192.168.10.254 255.255.255.0 ------>配置vlan10的ip地址 Ruijie(config-VLAN 10)#vrrp 1 ip 192.168.10.1 ------>配置vrrp虚拟地址 Ruijie(config-VLAN 10)#vrrp 1 priority 120 ------> 配置优先级,越大越优先,默认是100 Ruijie(config-VLAN 10)#exit 核心交换机B配置: Ruijie(config)#int vlan 10 Ruijie(config-VLAN 10)#ip address 192.168.10.253 255.255.255.0 Ruijie(config-VLAN 10)#vrrp 1 ip 192.168.10.1 Ruijie(config-VLAN 10)#exit BFD:二、组网拓扑 三、配置要点 配置浮动静态路由,并且配置BFD与静态路由联动
四、配置步骤 SW 1 1、配置IP地址及浮动静态路由 SW1>en SW1#conf terminal SW1(config)#interface gigabitEthernet 0/1 SW1(config-GigabitEthernet 0/1)#no switchport SW1(config-GigabitEthernet 0/1)#ip address 1.1.1.2 255.255.255.0 SW1(config)#interface gigabitEthernet 0/2 SW1(config-GigabitEthernet 0/2)#no switchport SW1(config-GigabitEthernet 0/2)#ip address 2.2.2.2 255.255.255.0 SW1(config)#ip route 0.0.0.0 0.0.0.0 g0/1 1.1.1.1 ------>配置默认路由,要和BFD联动,路由必须是配置出接口和下一跳,下一跳和对端BFD指定的源地址必须一致 SW1(config)#ip route 0.0.0.0 0.0.0.0 2.2.2.1 200 ------>浮动路由 2、配置BFD与静态路由联动 SW1(config)#interface gigabitEthernet 0/1 SW1(config-GigabitEthernet 0/1)#bfd interval 500 min_rx 500 multiplier 3 ------>配置BFD时间参数,该命令同时启用了接口的BFD功能,因此必须配置; 这里的 500/500/3 为推荐配置,间隔500ms发送一个探测报文,连续3个没收到回应宣告链路失败。 SW1(config-GigabitEthernet 0/1)#no bfd echo ------>默认是bfd echo模式,在某些时候(如中间连接FW或对接友商设备的时候)可能把echo报文过滤导致BFD无法建立成功,推荐关闭,和友商对接的时候部分设备默认没有支持echo模式,本端默认打开的情况下,可能会出现会话down。 SW1(config)#ip route static bfd GigabitEthernet 0/1 1.1.1.1 source 1.1.1.2 ------> BFD和静态路由联动
SW2: 1、配置IP地址及浮动静态路由 SW2(config)#interface gigabitEthernet 0/1 SW2(config-GigabitEthernet 0/1)#ip address 1.1.1.1 255.255.255.0 SW2(config)#interface gigabitEthernet 0/2 SW2(config-GigabitEthernet 0/2)#ip address 2.2.2.1 255.255.255.0 SW2(config)#ip route 192.168.1.0 255.255.255.0 1.1.1.2 SW2(config)#ip route 192.168.1.0 255.255.255.0 2.2.2.2 200 2、配置BFD与静态路由联动 SW2(config)#interface gigabitEthernet 0/1 SW2(config-GigabitEthernet 0/1)#bfd interval 500 min_rx 500 multiplier 3 SW2(config-GigabitEthernet 0/1)#no bfd echo SW2(config)#ip route static bfd GigabitEthernet 0/1 1.1.1.2 source 1.1.1.1 配置举例:sw5#show run sw5#show running-config Building configuration... Current configuration: 3349 bytes version X86_RGOS 12.5(5) hostname sw5 ! aggregateport load-balance src-dst-ip spanning-tree mst configuration instance 0 vlan 1-9, 11-19, 21-4094 instance 1 vlan 10 instance 2 vlan 20 ! spanning-tree mst 0 priority 4096 spanning-tree mst 1 priority 0 spanning-tree ! ip access-list extended 100 10 deny ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 20 deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255 30 permit ip 192.168.20.0 0.0.0.255 192.168.0.0 0.0.255.255 40 permit ip 192.168.20.0 0.0.0.255 172.16.0.0 0.0.0.255 50 permit ip 192.168.20.0 0.0.0.255 10.0.0.0 0.255.255.255 60 permit ip 192.168.10.0 0.0.0.255 any 70 permit ip host 0.0.0.0 host 255.255.255.255 80 deny ip any any ! ip access-list extended 101 10 deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 20 deny ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255 30 permit ip any any ! username ljc05 password 7 154b092c1b250c541752 username ljc05 login mode telnet username ljc05 login mode console ! aaa new-model ! aaa authentication login default local ! no cwmp ! service dhcp ip dhcp excluded-address 192.168.10.1 ip dhcp excluded-address 192.168.10.2 ip dhcp excluded-address 192.168.10.254 ! ip dhcp pool vlan10 network 192.168.10.0 255.255.255.0 dns-server 114.114.114.114 default-router 192.168.10.254 ! ip dhcp pool P_192.168.10.50 hardware-address 5000.0012.0000 host 192.168.10.50 255.255.255.0 lease 1 0 0 dns-server 8.8.8.8 default-router 192.168.10.254 ! install 0 X86 ! sysmac 5000.0005.0001 ! webmaster level 0 username admin secret 8 $1c$7eyy23uMQk$jz2xh0f#n0|$f!:r,.,8l#`!&:jj.$rv660|` |
【本文地址】