目 录
第一章:设备配置和文件管理 .......................................................................................................4
1.1 通过 TELNET 方式来配置设备 ........................................................................................4
1.2 更改 IOS 命令的特权等级 ...............................................................................................4
1.3 设备时钟设置 ...................................................................................................................5
第二章:交换机基础配置 ...............................................................................................................5
2.1 交换机 vlan 和 trunk 的置 ..............................................................................................5
2.2 turnk 接口修剪配置 .........................................................................................................6
2.3 PVLAN 配置 .......................................................................................................................7
2.4 端口汇聚配置 ...................................................................................................................8
2.5 生成树配置 .......................................................................................................................9
2.6 端口镜像配置 ...................................................................................................................9
第三章:交换机防止 ARP 欺骗置 .............................................................................................10
3.1 交换机地址绑定( address-bind )功能 .....................................................................10
3.2 交换机端口安全功能 .....................................................................................................10
3.3 交换机 arp-check 功能 ..................................................................................................11
3.4 交换机ARP动态检测功能(DAI)..................................................................................11
第四章:访问控制列
表
关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf
配置(ACL).........................................................................................12
4.1
标准
excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载
ACL配置..................................................................................................................12
4.2 扩展ACL配置.................................................................................................................13
4.3 VLAN之间的ACL配置...................................................................................................13
4.4 单向ACL的配置.............................................................................................................15
第五章:应用
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
配置.................................................................................................................16
5.1 DHCP服务配置................................................................................................................16
5.2 交换机dot1x认证配置..................................................................................................18
5.3 QOS限速配置................................................................................................................19
5.4 IPsec配置.......................................................................................................................20
5.5 GRE配置..........................................................................................................................22
5.6 PPTP 配置 .........................................................................................................................22
5.7 路由器L2TP配置...........................................................................................................23
5.8 路由器 NAT 配置 ............................................................................................................24
第六章:路由协议配置 .................................................................................................................25
6.1 默认路由配置.................................................................................................................25
6.2 静态路由配置.................................................................................................................25
6.3 浮动路由配置.................................................................................................................25
6.4 策略路由配置 .................................................................................................................25
6.5 OSPF 配置.......................................................................................................................26
6.6 OSPF 中 router ID 配置.................................................................................................27
第一章:设备配置和文件管理
1.1 通过 TELNET 方式来配置设备
提问:如何通过 telnet 方式来配置设备?
回答:
步骤一:配置 VLAN1 的 IP 地址
S5750>en ---- 进入特权模式
S5750#conf ---- 进入全局配置模式
S5750(config)#int vlan 1 ---- 进入 vlan 1 接口
S5750(config-if)#ip address 192.168.0.230 255.255.255.0
---- 为 vlan 1 接口上设置管理 ip
S5750(config-if)#exit ----退回到全局配置模式
步骤二:配置telnet密码
S5750(config)#line vty 0 4 ----进入telnet密码配置模式
S5750(config-line)#login ---启用需输入密码才能telnet成功
S5750(config-line)#password rscstar ----将telnet密码设置为rscstar
S5750(config-line)#exit ----回到全局配置模式
S5750(config)#enable secret 0 rscstar
----配置进入特权模式的密码为rscstar
步骤三:开启SSH服务(可选操作)
S5750(config)#enable service ssh-server ---开启ssh服务
S5750(config)#ip ssh version 2 ----启用ssh version 2
S5750(config)#exit ---- 回到特权模式
S5750#wri ----保存配置
1.2 更改 IOS 命令的特权等级
提问:如何只允许dixy这个用户使用与ARP相关的命令?
回答:
S5750(config)#username dixy password dixy ---- 设置 dixy 用户名和密码
S5750(config)#username dixy privilege 10 ----dixy 帐户的权限为 10
S5750(config)#privilege exec level 10 show arp
---- 权限 10 可以使用 show arp 命令
S5750(config)#privilege config all level 10 arp
---- 权限 10 可以使用所有 arp 打头的命令
S5750(config)#line vty 0 4 ---- 配置 telnet 登陆用户
S5750(config-line)#no password
S5750(config-line)#login local
注释: 15 级密码为 enable 特权密码,无法更改, 0 级密码只能支持 disable , enable , exit
和 help , 1 级密码无法进行配置。
1.3 设备时钟设置
提问:如何设置设备时钟?
回答:
S5750#clock set 12:45:55 11 25 2008
----设置时间为2008年11月25日12点45分55秒
S5750#clock update-calendar ----设置日历更新
S5750(config)#clock timezone CN 8 22 ----时间名字为中国,东8区22分
第二章:交换机基础配置
2.1 交换机vlan和trunk的配置
提问:如何在交换机上划分 vlan ,配置 trunk 接口?
回答:
步骤一:给交换机配置IP地址
S2724G#conf
S2724G(config)#int vlan 1
S2724G(config-if)#ip addess 192.168.0.100 255.255.255.0
---- 给 VLAN 1 配置 IP 地址
S2724G(config-if)#no shutdown ---- 激活该 VLAN 接口
S2724G(config-if)#exit
S2724G(config)#ip default-gateway 192.168.0.1 ---- 指定交换机的网关地址
步骤二:创建 VLAN
S2724G#conf
S2724G(config)#vlan 10 ---- 创建 VLAN 10
S2724G(config-vlan)#exit
S2724G(config)# vlan 20 ---- 创建 VLAN 20
S2724G(config-vlan)#exit
步骤三:把相应接口指定到相应的 VLAN 中
S2724G(config)#int gi 0/10
S2724G(config-if)#switch access vlan 10
----把交换机的第10端口划到VLAN 10中
S2724G(config-if)#exit
S2724G(config)#int gi 0/20
S2724G(config-if)#switch access vlan 20
----把交换机的第20端口划到VLAN 20中
S2724G(config-if)#exit
S2724G(config)#int gi 0/24
S2724G(config-if)#switch mode trunk
----设置24口为Trunk模式(与三层交换机的连接口
S2724G(config-if)#
步骤四:保存配置
S2724G(config-if)#end
S2724G#write
2.2 turnk接口修剪配置
提问:如何让 trunk 接口只允许部分 vlan 通过?
回答:
Switch(config)#int fa 0/24
Switch (config-if)#switch mode trunk
Switch (config-if)#switchport trunk allowed vlan remove 10,20,30-40
---- 不允许 VLAN10,20,30-40 通过 Trunk 口
———————————————————————————————————————
2.3 PVLAN 配置
提问:如何实现几组用户之间的隔离,但同时又都能访问公用服务?
回答:
步骤一:创建隔离 VLAN
S2724G#conf
S2724G(config)#vlan 3 ----创建VLAN3
S2724G(config-vlan)#private-vlan community ----将VLAN3设为隔离VLAN
S2724G(config)#vlan 4 ----创建VLAN4
S2724G(config-vlan)#private-vlan community ----将VLAN4设为隔离VLAN
S2724G(config-vlan)#exit ----退回到特权模式
步骤二:创建主VLAN
S2724G(config)#vlan 2 ----进入VLAN2
S2724G(config-vlan)#private-vlan primary ----VLAN2为主VLAN
步骤三:将隔离 VLAN 加到到主 VLAN 中
VLANS2724G(config-vlan)#private-vlan association add 3-4
---- 将 VLAN3 和 VLAN4 加入到公用 VLAN 中, VLAN3 和 VLAN4 的用户可以访问公用接
口
步骤四:将实际的物理接口与VLAN相对应
S2724G(config)#interface GigabitEthernet 0/1
----进入接口1,该接口连接服务器或者上联设备
S2724G(config-if)#switchport mode private-vlan promiscuous
---- 接口模式为混杂模式
S2724G(config-if)#switchport private-vlan mapping 2 add 3-4
---- 将 VLAN3 和 VLAN4 映射到 VLAN2 上
S2724G(config)#int gi 0/10 ---- 进入接口 10
S2724G(config-if)#switchport mode private-vlan host
S2724G(config-if)#switchport private-vlan host-association 2 3
---- 该接口划分入 VLAN3
S2724G(config)#int gi 0/20 ---- 进入接口 20
S2724G(config-if)#switchport mode private-vlan host
S2724G(config-if)#switchport private-vlan host-association 2 4
---- 该接口划分入 VLAN4
步骤五:完成 VLAN 的映射
S2724G(config)#int vlan 2 ----进入VLAN2的SVI接口
S2724G(config-if)#ip address 192.168.2.1 255.255.255.0
----配置VLAN2的ip地址
S2724G(config-if)#private-vlan mapping add 3-4
----将VLAN3和VLAN4加入到VLAN2中
注释:
1. S20、S21不支持私有VLAN,可以通过保护端口实现类似功能
2. S3250、S3750和S5750同时支持保护端口和私有VLAN
3. S3760不支持私有VLAN和保护端口
2.4 端口汇聚配置
提问:如何将交换机的端口捆绑起来使用?
回答:
S5750#conf
S5750(config)#interface range gigabitEthernet 0/1 – 4 ---- 同时进入 1 到 4 号接口
S5750(config-if)#port-group 1 ----设置为聚合口1
S5750(config)#interface aggregateport 1 ----进入聚合端口1
注意:配置为AP口的接口将丢失之前所有的属性,以后关于接口的操作只能在AP1口上面进行
2.5 生成树配置
提问:如何配置交换机的生成树?
回答:
步骤一:根桥的设置
switch_A#conf t
switch_A(config)#spanning-tree --- 默认模式为 MSTP
switch_A(config)#spanning-tree mst configuration
switch_A(config)#spanning-tree mst 10 priority 4096 --- 设置为根桥
步骤二:非根桥的设置
switch_B#conf t
switch_B(config)#spanning-tree ---默认模式为MSTP
switch_B(config)#spanning-tree mst configuration
switch_B(config)#int f0/1 ---PC的接入端口
switch_B(config)#spanning-tree bpduguard enable
switch_B(config)#spanning-tree portfast
2.6 端口镜像配置
提问:如何配置交换机的端口镜像?
回答:
switch#conf t
switch#(config)#
switch (config)# monitor session 1 source interface gigabitEthernet 3/1 both
--- 监控源口为 g3/1
switch (config)# monitor session 1 destination interface gigabitEthernet 3/8 switch
--- 监控目的口为 g3/8 ,并开启交换功能
注意: S2026 交换机镜像目的端口无法当做普通接口使用
第三章:交换机防止 ARP 欺骗配置
3.1 交换机地址绑定( address-bind )功能
提问:如何对用户 ip+mac 进行两元素绑定?
回答:
S5750#conf
S5750(config)# address-bind 192.168.0.101 0016.d390.6cc5
---- 绑定 ip 地址为 192.168.0.101 MAC 地址为 0016.d390.6cc5 的主机让其使用网络
S5750(config)# address-bind uplink GigabitEthernet 0/1
---- 将 g0/1 口设置为上联口,也就是交换机通过 g0/1 的接口连接到路由器或是出口设备,
如果接口选择错误会导致整网不通
S5750(config)# address-bind install ----使能address-bind功能
S5750(config)#end ----退回特权模式
S5750# wr ----保存配置
注释:
1. 如果修改ip或是MAC地址该主机则无法使用网络,可以按照此命令添加多条,添加的
条数跟交换机的硬件资源有关
2. S21交换机的address-bind功能是防止Ip冲突,只有在交换机上绑定的才进行ip和
MAC的匹配,如果下边用户设置的ip地址在交换机中没绑定,交换机不对该数据包做控制,
直接转发。
3.2 交换机端口安全功能
提问:如何对用户ip+mac+接口进行三元素绑定?
回答:
S5750#conf
S5750(config)# int g0/23
---- 进入第 23 接口,准备在该接口绑定用户的 MAC 和 ip 地址
S5750(config-if)# switchport port-security mac-address 0016.d390.6cc5
ip-address 192.168.0.101
---- 在 23 端口下绑定 ip 地址是 192.168.0.101 MAC 地址是 0016.d390.6cc5 的主机,确保
该主机可以正常使用网络,如果该主机修改 ip 或者 MAC 地址则无法使用网络,可以添加多
条来实现对接入主机的控制
S5750(config-if)# switchport port-security ---- 开启端口安全功能
S5750(config)#end ---- 退会特权模式
S5750# wr ---- 保存配置
注释:可以通过在接口下设置最大的安全地址个数从而来控制控制该接口下可使用的主机
数,安全地址的个数跟交换机的硬件资源有关
3.3 交换机 arp-check 功能
提问:如何防止错误的arp信息在网络里传播?
回答:
S5750#conf
S5750(config)# int g0/23
----进入第23接口,准备在该接口绑定用户的MAC和ip地址
S5750(config-if)# switchport port-security mac-address 0016.d390.6cc5
ip-address 192.168.0.101 ----ip+mac绑定信息
S5750(config-if)# switchport port-security ----开启端口安全功能
S5750(config-if)# switchport port-security arp-check ---- 开启端 arp 检查功能
S5750(config)#end ---- 退会特权模式
S5750# wr ---- 保存配置
注释:开启 arp-check 功能后安全地址数减少一半,具体情况请查阅交换机配置指南
3.4 交换机ARP动态检测功能(DAI)
提问:如何在动态环境下防止ARP欺骗?
回答:
步骤一: 配置 DHCP snooping
S3760#con t
S3760(config)#ip dhcp snooping ---- 开启 dhcp snooping
S3760(config)#int f 0/1
S3760(config-if)#ip dhcp snooping trust ---- 设置上连口为信任端口(注意:
缺省所有端口都是不信任端口) , 只有此接口连接的服务器发出的 DHCP 响应报文才能够被
转发 .
S3760(config-if)#exit
S3760(config)#int f 0/2
S3760(config-if)# ip dhcp snooping address-bind
---- 配置 DHCP snooping 的地址绑定功能
S3760(config-if)#exit
S3760(config)#int f 0/3
S3760(config-if)# ip dhcp snooping address-bind
----配置DHCP snooping的地址绑定功能
步骤二: 配置DAI
S3760(config)# ip arp inspection ----启用全局的DAI
S3760(config)# ip arp inspection vlan 2 ----启用vlan2的DAI报文检查功能
S3760(config)# ip arp inspection vlan 3 ----启用vlan3的DAI报文检查功能
第四章:访问控制列表配置( ACL )
4.1 标准 ACL 配置
提问:如何只允许端口下的用户只能访问特定的服务器网段?
回答:
步骤一:定义 ACL
S5750#conf t ----进入全局配置模式
S5750(config)#ip access-list standard 1 ----定义标准ACL
S5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255
---- 允许访问服务器资源
S5750(config-std-nacl)#deny any ----拒绝访问其他任何资源
S5750(config-std-nacl)#exit ---- 退出标准 ACL 配置模式
步骤二:将 ACL 应用到接口上
S5750(config)#interface GigabitEthernet 0/1 ---- 进入所需应用的端口
S5750(config-if)#ip access-group 1 in ---- 将标准 ACL 应用到端口 in 方向
注释:
1. S1900 系列、 S20 系列交换机不支持基于硬件的 ACL 。
2. 实际配置时需注意,在交换机每个 ACL 末尾都隐含着一条“拒绝所有数据流”的语句。
3. 以上所有配置,均以锐捷网络 S5750-24GT/12SFP 软件版本 10.2 ( 2 )为例。
其他说明,其详见各产品的配置手册《访问控制列表配置》一节。
4.2 扩展 ACL 配置
提问:如何禁止用户访问单个网页服务器?
回答:
步骤一:定义ACL
S5750#conf t ----进入全局配置模式
S5750(config)#ip access-list extended 100 ----创建扩展ACL
S5750(config-ext-nacl)#deny tcp any host 192.168.1.254 eq www
----禁止访问web服务器
S5750(config-ext-nacl)#deny tcp any any eq 135 ----预防冲击波病毒
S5750(config-ext-nacl)#deny tcp any any eq 445 ----预防震荡波病毒
S5750(config-ext-nacl)#permit ip any any ----允许访问其他任何资源
S5750(config-ext-nacl)#exit ----退出ACL配置模式
步骤二:将ACL应用到接口上
S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口
S5750(config-if)#ip access-group 100 in ---- 将扩展 ACL 应用到端口下
———————————————————————————————————————
4.3 VLAN 之间的 ACL 配置
提问:如何禁止VLAN间互相访问?
回答:
步骤一:创建 vlan10 、 vlan20 、 vlan30
S5750#conf ---- 进入全局配置模式
S5750(config)#vlan 10 ---- 创建 VLAN10
S5750(config-vlan)#exit ---- 退出 VLAN 配置模式
S5750(config)#vlan 20 ---- 创建 VLAN20
S5750(config-vlan)#exit ---- 退出 VLAN 配置模式
S5750(config)#vlan 30 ---- 创建 VLAN30
S5750(config-vlan)#exit ---- 退出 VLAN 配置模式
步骤二:将端口加入各自 vlan
S5750(config)# interface range gigabitEthernet 0/1-5
---- 进入 gigabitEthernet 0/1-5 号端口
S5750(config-if-range)#switchport access vlan 10
----将端口加划分进vlan10
S5750(config-if-range)#exit ----退出端口配置模式
S5750(config)# interface range gigabitEthernet 0/6-10
----进入gigabitEthernet 0/6-10号端口
S5750(config-if-range)#switchport access vlan 20
----将端口加划分进vlan20
S5750(config-if-range)#exit ----退出端口配置模式
S5750(config)# interface range gigabitEthernet 0/11-15
---- 进入 gigabitEthernet 0/11-15 号端口
S5750(config-if-range)#switchport access vlan 30
----将端口加划分进vlan30
S5750(config-if-range)#exit ----退出端口配置模式
步骤三:配置vlan10、vlan20、vlan30的网关IP地址
S5750(config)#interface vlan 10 ----创建vlan10的SVI接口
S5750(config-if)#ip address 192.168.10.1 255.255.255.0
---- 配置
VLAN10 的网关
S5750(config-if)#exit ----退出端口配置模式
S5750(config)#interface vlan 20 ----创建vlan10的SVI接口
S5750(config-if)#ip address 192.168.20.1 255.255.255.0
---- 配置 VLAN10 的网关
S5750(config-if)#exit ---- 退出端口配置模式
S5750(config)#interface vlan 30 ---- 创建 vlan10 的 SVI 接口
S5750(config-if)#ip address 192.168.30.1 255.255.255.0
---- 配置 VLAN10 的网关
S5750(config-if)#exit ---- 退出端口配置模式
步骤四:创建 ACL ,使 vlan20 能访问 vlan10 ,而 vlan30 不能访问 vlan10
S5750(config)#ip access-list extended deny30 ---- 定义扩展 ACL
S5750(config-ext-nacl)#deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
---- 拒绝 vlan30 的用户访问 vlan10 资源
S5750(config-ext-nacl)#permit ip any any
----允许vlan30的用户访问其他任何资源
S5750(config-ext-nacl)#exit ----退出扩展ACL配置模式
步骤五:将ACL应用到vlan30的SVI口in方向
S5750(config)#interface vlan 30 ----创建vlan30的SVI接口
S5750(config-if)#ip access-group deny30 in
----将扩展ACL应用到vlan30的SVI接口下
———————————————————————————————————————
4.4 单向ACL的配置
提问:如何实现主机A可以访问主机B的FTP资源,但主机B无法访问主机A的FTP资
源??
回答:
步骤一:定义 ACL
S5750#conf t ----进入全局配置模式
S5750(config)#ip access-list extended 100 ----定义扩展ACL
S5750(config-ext-nacl)#deny tcp any host 192.168.1.254 match-all syn
---- 禁止主动向 A 主机发起 TCP 连接
S5750(config-ext-nacl)#permit ip any any ---- 允许访问其他任何资源
S5750(config-ext-nacl)#exit ---- 退出扩展 ACL 配置模式
步骤二:将 ACL 应用到接口上
S5750(config)#interface GigabitEthernet 0/1 ---- 进入连接 B 主机的端口
S5750(config-if)#ip access-group 100 in ---- 将扩展 ACL 应用到端口下
S5750(config-if)#end ---- 退回特权模式
S5750#wr ---- 保存
注释:单向 ACL 只能对应于 TCP 协议,使用 PING 无法对该功能进行检测。
第五章:应用协议配置
———————————————————————————
5.1 DHCP 服务配置
提问:如何在设备上开启DHCP服务,让不同VLAN下的电脑获得相应的IP地址?
回答:
步骤一:配置VLAN网关IP地址,及将相关端口划入相应的VLAN中
S3760#con t
S3760(config)#vlan 2 ----创建VLAN2
S3760(config-vlan)#exit ----退回到全局配置模式下
S3760(config)#vlan 3 ----创建VLAN3
S3760(config-vlan)#exit ----退回到全局配置模式下
S3760(config)#int vlan 2
浙公网安备 33021202002483