锐捷交换机路由器配置教程目录第一章：设备配置和文件管理 .......... .. (4)1.1 通过TELNET 式来配置设备 ... . (4)1.2 更改IOS 命令的特权等级 (4)1.3 设备时钟设置 (5)第二章：交换机基础配置 ............... (5)2.1 交换机vlan 和trunk 的置 ..... .52.2 turnk 接口修剪配置 (6)2.3 PVLAN 配置 ............... (7)2.4 端口汇聚配置 .... ..82.5 生成树配置 ..... . (9)2.6 端口镜像配置 ..... .. (9)第三章：交换机防止ARP 欺骗置 .. (10)3.1 交换机地址绑定（address-bind ）功能 (10)3.2 交换机端口安全功能 (10)3.3 交换机arp-check 功能 .... ..113.4 交换机ARP动态检测功能(DAI)........ . (11)第四章：访问控制列表配置（ACL）.... ....... ..124.1 标准ACL配置 (12)4.2 扩展ACL配置 (13)4.3 VLAN之间的ACL配置............... ...... .134.4 单向ACL的配置 (15)第五章：应用协议配置 (16)5.1 DHCP服务配置......................... . (16)5.2 交换机dot1x认证配置 (18)5.3 QOS限速配置............... (19)5.4 IPsec配置.............. (20)5.5 GRE配置................ ............... ..225.6 PPTP 配置 (22)5.7 路由器L2TP配置 (23)5.8 路由器NAT 配置 (24)第六章：路由协议配置 (25)6.1 默认路由配置 (25)6.2 静态路由配置 (25)6.3 浮动路由配置 (25)6.4 策略路由配置 (25)6.5 OSPF 配置............ . (26)6.6 OSPF 中router ID 配置 (27)第一章：设备配置和文件管理1.1 通过TELNET 式来配置设备提问：如通过telnet 式来配置设备？回答：步骤一：配置VLAN1 的IP 地址S5750>en ---- 进入特权模式S5750#conf ---- 进入全局配置模式S5750(config)#int vlan 1 ---- 进入vlan 1 接口S5750(config-if)#ip address 192.168.0.230 255.255.255.0- 为vlan 1 接口上设置管理ip S5750(config-if)#exit ----退回到全局配置模式步骤二：配置telnet密码S5750(config)#line vty 0 4 ----进入telnet密码配置模式S5750(config-line)#login ---启用需输入密码才能telnet成功S5750(config-line)#password rscstar ---将telnet密码设置为rscstarS5750(config-line)#exit ---回到全局配置模式S5750(config)#enable secret 0 rscstar -配置进入特权模式的密码为rscstar步骤三：开启SSH服务（可选操作）S5750(config)#enable service ssh-server ---开启ssh服务S5750(config)#ip ssh version 2 -启用ssh version 2S5750(config)#exit -- 回到特权模式S5750#wri -保存配置1.2 更改IOS 命令的特权等级提问：如只允dixy这个用户使用与ARP相关的命令？回答：S5750(config)#username dixy password dixy - 设置dixy 用户名和密码S5750(config)#username dixy privilege 10 --dixy 帐户的权限为10S5750(config)#privilege exec level 10 show arp- 权限10 可以使用show arp 命令S5750(config)#privilege config all level 10 arp-- 权限10 可以使用所有arp 打头的命令S5750(config)#line vty 0 4 ---- 配置telnet 登陆用户S5750(config-line)#no passwordS5750(config-line)#login local注释：15 级密码为enable 特权密码，无法更改，0 级密码只能支持disable ，enable ，exit和help ，1 级密码无法进行配置。

1.3 设备时钟设置提问：如设置设备时钟？回答：S5750#clock set 12:45:55 11 25 2008- ---设置时间为2008年11月25日12点45分55秒S5750#clock update-calendar ---设置日历更新S5750(config)#clock timezone CN 8 22 -时间名字为中国，东8区22分第二章：交换机基础配置2.1 交换机vlan和trunk的配置提问：如在交换机上划分vlan ，配置trunk 接口？回答：步骤一：给交换机配置IP地址S2724G#confS2724G(config)#int vlan 1S2724G(config-if)#ip addess 192.168.0.100 255.255.255.0 -- 给VLAN 1 配置IP 地址S2724G(config-if)#no shutdown - 激活该VLAN 接口S2724G(config-if)#exitS2724G(config)#ip default-gateway 192.168.0.1 - 指定交换机的网关地址步骤二：创建VLANS2724G#confS2724G(config)#vlan 10 --- 创建VLAN 10S2724G(config-vlan)#exitS2724G(config)# vlan 20 --- 创建VLAN 20S2724G(config-vlan)#exit步骤三：把相应接口指定到相应的VLAN 中S2724G(config)#int gi 0/10S2724G(config-if)#switch access vlan 10-把交换机的第10端口划到VLAN 10中S2724G(config-if)#exitS2724G(config)#int gi 0/20S2724G(config-if)#switch access vlan 20-把交换机的第20端口划到VLAN 20中S2724G(config-if)#exitS2724G(config)#int gi 0/24S2724G(config-if)#switch mode trunk--设置24口为Trunk模式（与三层交换机的连接口S2724G(config-if)#步骤四：保存配置S2724G(config-if)#endS2724G#write2.2 turnk接口修剪配置提问：如让trunk 接口只允部分vlan 通过？回答：Switch(config)#int fa 0/24Switch (config-if)#switch mode trunkSwitch (config-if)#switchport trunk allowed vlan remove 10,20,30-40-- 不允VLAN10,20,30-40 通过Trunk 口2.3 PVLAN 配置提问：如实现几组用户之间的隔离，但同时又都能访问公用服务？回答：步骤一：创建隔离VLANS2724G#confS2724G(config)#vlan 3 ----创建VLAN3S2724G(config-vlan)#private-vlan community --将VLAN3设为隔离VLANS2724G(config)#vlan 4 -创建VLAN4S2724G(config-vlan)#private-vlan community --将VLAN4设为隔离VLANS2724G(config-vlan)#exit --退回到特权模式步骤二：创建主VLANS2724G(config)#vlan 2 -进入VLAN2S2724G(config-vlan)#private-vlan primary --VLAN2为主VLAN步骤三：将隔离VLAN 加到到主VLAN 中VLANS2724G(config-vlan)#private-vlan association add 3-4-- 将VLAN3 和VLAN4 加入到公用VLAN 中，VLAN3 和VLAN4 的用户可以访问公用接口步骤四：将实际的物理接口与VLAN相对应S2724G(config)#interface GigabitEthernet 0/1-- --进入接口1，该接口连接服务器或者上联设备S2724G(config-if)#switchport mode private-vlan promiscuous-- -- 接口模式为混杂模式S2724G(config-if)#switchport private-vlan mapping 2 add 3-4- -- 将VLAN3 和VLAN4 映射到VLAN2 上S2724G(config)#int gi 0/10 -- 进入接口10S2724G(config-if)#switchport mode private-vlan hostS2724G(config-if)#switchport private-vlan host-association 2 3-- -- 该接口划分入VLAN3S2724G(config)#int gi 0/20 -- 进入接口20S2724G(config-if)#switchport mode private-vlan hostS2724G(config-if)#switchport private-vlan host-association 2 4- --- 该接口划分入VLAN4步骤五：完成VLAN 的映射S2724G(config)#int vlan 2 -进入VLAN2的SVI接口S2724G(config-if)#ip address 192.168.2.1 255.255.255.0- ---配置VLAN2的ip地址S2724G(config-if)#private-vlan mapping add 3-4-- - -将VLAN3和VLAN4加入到VLAN2中注释：1. S20、S21不支持私有VLAN，可以通过保护端口实现类似功能2. S3250、S3750和S5750同时支持保护端口和私有VLAN3. S3760不支持私有VLAN和保护端口2.4 端口汇聚配置提问：如将交换机的端口捆绑起来使用？回答：S5750#confS5750(config)#interface range gigabitEthernet 0/1 4- 同时进入1 到4 号接口S5750(config-if)#port-group 1 --设置为聚合口1S5750(config)#interface aggregateport 1 --进入聚合端口1注意：配置为AP口的接口将丢失之前所有的属性，以后关于接口的操作只能在AP1口上面进行2.5 生成树配置提问：如配置交换机的生成树？回答：步骤一：根桥的设置switch_A#conf tswitch_A(config)#spanning-tree --- 默认模式为MSTPswitch_A(config)#spanning-tree mst configurationswitch_A(config)#spanning-tree mst 10 priority 4096 - 设置为根桥步骤二：非根桥的设置switch_B#conf tswitch_B(config)#spanning-tree -默认模式为MSTPswitch_B(config)#spanning-tree mst configurationswitch_B(config)#int f0/1 --PC的接入端口switch_B(config)#spanning-tree bpduguard enableswitch_B(config)#spanning-tree portfast2.6 端口镜像配置提问：如配置交换机的端口镜像？回答：switch#conf tswitch#(config)#switch (config)# monitor session 1 source interface gigabitEthernet 3/1 both--- 监控源口为g3/1switch (config)# monitor session 1 destination interface gigabitEthernet 3/8 switch--- 监控目的口为g3/8 ，并开启交换功能注意：S2026 交换机镜像目的端口无法当做普通接口使用第三章：交换机防止ARP 欺骗配置3.1 交换机地址绑定（address-bind ）功能提问：如对用户ip+mac 进行两元素绑定？回答：S5750#confS5750(config)# address-bind 192.168.0.101 0016.d390.6cc5---- 绑定ip 地址为192.168.0.101 MAC 地址为0016.d390.6cc5 的主机让其使用网络S5750(config)# address-bind uplink GigabitEthernet 0/1---- 将g0/1 口设置为上联口，也就是交换机通过g0/1 的接口连接到路由器或是出口设备，如果接口选择错误会导致整网不通S5750(config)# address-bind install ----使能address-bind功能S5750(config)#end ----退回特权模式S5750# wr ---保存配置注释：1. 如果修改ip或是MAC地址该主机则无法使用网络，可以按照此命令添加多条，添加的条数跟交换机的硬件资源有关2. S21交换机的address-bind功能是防止Ip冲突，只有在交换机上绑定的才进行ip 和MAC的匹配，如果下边用户设置的ip地址在交换机中没绑定，交换机不对该数据包做控制，直接转发。