锐捷路由交换相关命令
- 网络
- 2023-08-30
- 1862热度
- 0评论
锐捷命令
查看配置
# 查看所有配置
Ruijie#show running-config
# 查看接口状态
Ruijie(config)#show interfaces status
# 查看设备版本信息
Ruijie(config)#show version
# 查看ip路由表信息
S3#show ip route
# 查看ip地址信息
设备接口描述
路由器的 FastEthernet 1/0 指的就是路由器的二层接口
设备的 S4/0 指的是串口线,一般在设备的后面插
设备的 Gi0/1 指的是网线
设备的 TenGigabitEthernet 0/49 指的是堆叠线,用于多台设备做虚拟化使用
设备命名
Ruijie(config)#hostname hdy
hdy(config)#
密码恢复
交换机
1.开机按ctrl + c 进入bios菜单
2.再按ctrl + q 进入uboot命令行
3.输入main_config_password_clear 回车
注意:重置密码是有有效期的,重置完之后启动立马改密码
====== BootLoader Menu("Ctrl+Z" to upper level) ======
TOP menu items.
************************************************
0. Tftp utilities.
1. XModem utilities.
2. Run main.
3. SetMac utilities.
4. Scattered utilities.
5. Set Module Serial
************************************************
Press a key to run the command:
bootloader#main_config_password_clear
修改en密码
Ruijie(config)#enable secret ruijie
路由器
1.开机按ctrl + c
2.进入uboot命令行
3.重命名配置文件
BootLoader>rename config.text config.bak
4.重启设备
BootLoader>reload
5.等待重启后恢复配置,然后配置新的密码
Ruijie#copy flash:config.bak flash:config.text
[OK 2,220 bytes]
Ruijie#copy startup-config running-config
hdy(config)#enable secret 456
hdy(config)#wr
6.配置新的enable密码
版本升级
工具:tftpd64
1.点击Browse选择升级包所在的目录,尽量放在英文目录
2.选择网卡
3.设备和自己电脑设为同一网段
4.在设备内进行tftp传安装包,关闭电脑的防火墙。
hdy#copy tftp://1.1.1.2/S6000E_RGOS11.4(1)B74P1_install.bin flash:/S6000E_RGOS11.4(1)B74P1_install.bin
5.传输完成进行升级操作
hdy#upgrade flash://S6000E_RGOS11.4(1)B74P1_install.bin
Upgrade the device must be auto-reset after finish, are you sure upgrading now?[Y/N]y
等自动重启完就成了
telnet
需求一:telnet时使用密码登入交换机
Ruijie(config)#line vty 0 4 ------> 进入telnet密码配置模式,0 4表示允许共5个用户同时telnet登入到交换机
Ruijie(config-line)#login ------> 启用需输入密码才能telnet成功
Ruijie(config-line)#password ruijie ------> 将telnet密码设置为ruijie
Ruijie(config-line)#exit ------> 回到全局配置模式
Ruijie(config)#enable password ruijie ------> 配置进入特权模式的密码为ruijie(必须设置,否则telnet连接上以后进不去特权模式)
Ruijie(config)#end ------> 退出到特权模式
Ruijie#write ------> 确认配置正确,保存配置
需求二:telnet时使用用户名及密码登入交换机
Ruijie(config)#line vty 0 4 ------>进入telnet密码配置模式,0 4表示允许共5个用户同时telnet登入到交换机
Ruijie(config-line)#login local ------>启用telnet时使用本地用户和密码功能
Ruijie(config-line)#exit ------>回到全局配置模式
Ruijie(config)#username admin password ruijie ------>配置远程登入的用户名为admin,密码为ruijie
Ruijie(config)#enable password ruijie ------>配置进入特权模式的密码为ruijie
Ruijie(config)#end ------>退出到特权模式
Ruijie#write ------>确认配置正确,保存配置
ssh
1、开启交换机的SSH服务功能
hdy(config)#enable service ssh-server
2、生成加密密钥:
Ruijie(config)#crypto key generate dsa ------>加密方式有两种:DSA和RSA,可以随意选择
% You already have DSA keys.
% Do you really want to replace them? [yes/no]:yes ------>yes
Choose the size of the key modulus in the range of 360 to 2048 for your
Signature Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: ------>直接敲回车
% Generating 512 bit DSA keys ...[ok]
3、配置交换机的管理IP地址
Ruijie(config)#interface vlan 1
Ruijie(config-if)# ip address 192.168.1.1 255.255.255.0
需求一:SSH时仅使用密码登入交换机
Ruijie(config)#line vty 0 4 ------> 进入SSH密码配置模式,0 4表示允许共5个用户同时SSH登入到交换机
Ruijie(config-line)#login ------>启用需输入密码才能SSH成功
Ruijie(config-line)#password ruijie ------> 将SSH密码设置为ruijie
Ruijie(config-line)#exit ------> 回到全局配置模式
Ruijie(config)#enable password ruijie ------>配置进入特权模式的密码为ruijie
Ruijie(config)#end ------>退出到特权模式
Ruijie#write ------>确认配置正确,保存配置
# 注意事项:如果要限制用户使用telnet登录,只能使用SSH登录,则需要调整配置,默认情况下telnet和SSH均可登录。
Ruijie(config)#line vty 0 4
Ruijie(config-line)#transport input ssh
需求二:SSH时使用用户名及密码登入交换机
# 进入SSH密码配置模式,0 4表示允许共5个用户同时SSH登入到交换机
Ruijie(config)#line vty 0 4
# 启用SSH时使用本地用户和密码功能
Ruijie(config-line)#login local
# 回到全局配置模式
Ruijie(config-line)#exit
# 配置远程登入的用户名为admin,密码为ruijie
Ruijie(config)#username admin password ruijie
# 配置进入特权模式的密码为ruijie
Ruijie(config)#enable password ruijie
# 退出到特权模式
Ruijie(config)#end
# 确认配置正确,保存配置
Ruijie#write
# 注意事项:如果要限制用户使用telnet登录,只能使用SSH登录,则需要调整配置,默认情况下telnet和SSH均可登录。
Ruijie(config)#line vty 0 4
Ruijie(config-line)#transport input ssh
# 注:如果要禁止所有人通过远程的方式来登录交换机,则输入以下命令:
Ruijie(config-line)#transport input none
ACL
配置
EG1(config)#time-range hdy
EG1(config-time-range)#periodic weekdays 9:00 to 17:00
EG1(config)#ip access-list extended 110
EG1(config-ext-nacl)#permit ip 192.16.10.0 0.0.0.255 any time-range hdy
snmp
1、创建访问控制列表名“abc”,允许IP地址为192.168.1.2/24
Ruijie>en
Ruijie#config ter
Ruijie(config)#ip access-list standard abc
Ruijie(config-std-nacl)#permit host 192.168.1.2
Ruijie(config-std-nacl)#exit
注意:该步骤的作用是限制snmp server的ip地址只能是192.168.1.2,因此在实际环境中这个步骤根据自己的实际情况选配即可
2、配置交换机读写的Community为“ruijie”,只读的Community为“public”,通常只读口令和读写口令单独配置,提升安全性,并关联访问控制列表“abc”,只允许访问控制列表里面的用户能读写交换机信息
Ruijie(config)#snmp-server community ruijie rw abc ------>配置读写口令,从安全性考虑,推荐部署ACL限定可以进行SNMP管理的主机或服务器地址。
Ruijie(config)#snmp-server community public ro abc ------>配置只读口令,从安全性考虑,推荐部署ACL限定可以进行SNMP管理的主机或服务器地址。
注意:后面的abc是调用第一步的acl名称,如果第一个步骤没有配置的话,敲完rw或者ro之后直接敲回车即可
3、配置交换机主动向PC发送消息,PC地址为192.168.1.2,community为“ruijie”
Ruijie(config)#snmp-server host 192.168.1.2 traps ruijie ------>默认SNMPV1版本的trap报文
Ruijie(config)#snmp-server host 192.168.1.2 version 2c ruijie ------>指定SNMPV2C版本的trap报文
4、使交换机主动发送Trap消息
Ruijie(config)#snmp-server enable traps
端口安全
1、要求F0/1端口只能接入192.168.1.1且mac地址是0021.CCCF.6F70的电脑
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#interface fastEthernet 0/1
Ruijie(config-if-FastEthernet 0/1)#switchport port-security binding 0021.CCCF.6F70 vlan 10 192.168.1.1 ------>把属于vlan10 ,且mac地址是0021.CCCF.6F70 ,ip地址192.168.1.1的PC绑定在交换机的第一个百兆接口上
Ruijie(config-if-FastEthernet 0/1)#switchport port-security ------>开启端口安全功能
Ruijie(config-if-FastEthernet 0/1)#exit
2、要求F0/2端口只能接入ip地址是192.168.1.2的电脑,mac地址无要求。即F0/2下的电脑ip地址只能连接IP地址为192.168.1.2的电脑
Ruijie(config)#interfac fastEthernet 0/2
Ruijie(config-if-FastEthernet 0/2)# switchport port-security binding 192.168.1.2 ------>把ip地址是192.168.1.2的终端绑定在交换机的第二个百兆接口
Ruijie(config-if-FastEthernet 0/2)#switchport port-security ------>开启端口安全功能
端口保护
1)配置了端口保护后,保护口之间互相无法通讯,但保护口与非保护口之间可以正常通讯
2)端口保护只能在同一台交换机生效,例如PC1属于SWA,PC2属于SWB,SWA和SWB都配置了端口保护功能,并且他们属于同网段,那么PC1和PC2之间依然可以访问,如果要实现跨交换机隔离功能生效需要使用PVLAN功能实现
S5(config)#int r g 1/0/6 -20
S5(config-if-range)#switchport protected
S5(config)#protected-ports route-deny #全局开启路由隔离功能,这样配置了端口保护的端口之间就不能进行三层访问,仅部分产品支持。
vlan
# 创建vlan
Ruijie(config)#vlan 10
# 给vlan命名
Ruijie(config-vlan)#name hdy
# 设置端口模式
Ruijie(config-if-GigabitEthernet 0/1)#switchport mode ?
access Set trunking mode to ACCESS unconditionally
dot1q-tunnel Set mode to Dot1q-tunnel
hybrid Hybrid
private-vlan Private vlan
trunk Set trunking mode to TRUNK unconditionally
uplink Set mode to UPLINK
# 将端口添加到特定vlan
Ruijie(config-if-GigabitEthernet 0/1)#switchport access vlan 10
# trunk
# trunk只运行放行vlan 10(如果不配这条命令,锐捷默认放行所有vlan)
Ruijie(config-if-GigabitEthernet 0/1)#switchport tr allowed vlan only 10
trunk
# 查看trunk放行情况
S1#show interface trunk
Interface Native VLAN VLAN lists
-------------------------------- ----------- ----------------------
GigabitEthernet 0/23 1 10,20,30,40,50,60,70
100
GigabitEthernet 0/24 1 10,20,30,40,50,60,70
100
链路聚合
静态聚合配置
# 创建聚合口
S3(config)#int aggregateport 1
S3(config-if-AggregatePort 1)#exit
# 进接口加入到聚合口
S3(config)#int r g0/47-48
S3(config-if-range)#port-group 1
# 查询聚合口状态
S4(config)#show aggregatePort 1 summary
AggregatePort MaxPorts SwitchPort Mode Load balance Ports
------------- -------- ---------- ------ ---------------------------- -----------------------------------
Ag1 8 Enabled ACCESS src-dst-mac Gi0/47 ,Gi0/48
LACP动态聚合
# 同时进入到g0/1-3口配置模式
SW1(config)#interface range gigabitEthernet 0/1-3
# 设置为AG1口,并且模式为active
SW1(config-if-range)#port-group 1 mode active
# 其他配置和静态聚合一样
环路规避方案
bpdu保护
# 接口下开启bpdu保护
S1(config-if-range)#spanning-tree bpduguard enable
Rujijie(config)#rldp enable ------>全局开启RLDP功能
# 接口下开启rldp
S1(config-if-GigabitEthernet 0/1)#rldp port loop-detect shutdown-port
# 如果被BPDU保护检测到进入err-disabled状态,再过120秒后会自动恢复
S1(config)#errdisable recovery interval 120
# 设置边缘端口
S1(config-if-GigabitEthernet 0/1)#spanning-tree portfast
DHCP
配置
# 开启dhcp服务(默认关闭)
S1(config)#service dhcp
# 创建dhcp地址池命名为hdy
S1(config)#ip dhcp pool hdy
# dhcp服务为设备分配的地址段
S1(dhcp-config)#network 192.168.16.0 255.255.255.0
# 分配的网关地址
S1(dhcp-config)#default-router 192.168.16.254
# 分配的dns地址
S1(dhcp-config)#dns-server 114.114.114.114
# 清除dhcp地址池
S4#clear ip dhcp binding *
中继
# 开启dhcp服务
Ruijie(config)#service dhcp
# 配置dhcp服务器
Ruijie(config)#ip helper-address 172.16.1.1
dhcp安全
DHCP Snooping
的主要功能是防止非法DHCP Server服务器影响用户正常获取IP,来盗取用户信息。
Trust口和UnTrust:设备只转发TRUST 口收到的DHCP 应答报文,而丢弃所有来自UNTRUST 口的DHCP 应答报文,这样我们把合法的DHCP Server 连接的端口设置为TRUST 口,则其他口为UNTRUST 口,就可以实现对非法DHCP Server 的屏蔽。
# 开启dhcp和创建好地址池之后配置
# 开启DHCP snooping功能
Ruijie(config)#ip dhcp snooping
# 开启DHCP snooping的交换机所有接口缺省为untrust口,交换机只转发从trust口收到的DHCP响应报文(offer、ACK)
Ruijie(config-GigabitEthernet 0/49)#ip dhcp snooping trust
DHCP Snooping +DAI防ARP欺骗方案:
在用户PC动态获取IP地址的过程中,通过接入层交换机的DHCP Snooping功能将用户DHCP获取到的,正确的IP与MAC信息记录到交换机的DHCP Snooping软件表;然后使用DAI功能(纯CPU方式)校验进入交换机的所有ARP报文,将ARP报文里面的Sender IP及Sender MAC字段与DHCP Snooping表里面的IP+MAC 记录信息进行比较,如果一致则放通,否则丢弃。这样如果合法用户获取IP地址后试图进行ARP欺骗,或者是非法用户私自配置静态的IP地址,他们的ARP校验都将失败,这样的用户将无法使用网络。
# 防止用户私设IP
Ruijie(config)#ip dhcp snooping
Ruijie(config)#interface gigabitEthernet 0/49
Ruijie(config-if-range)#ip verify source port-security
cpu & 日志
S6(config)#cpu-protect type arp bandwidth 500 调整CPU的阈值为500
S6(config)#nfpp
Ruijie(config-nfpp)#log-buffer entries 1024 ------>设置NFPP log缓存的容量为1024条(默认256)
Ruijie(config-nfpp)#log-buffer logs 1 interval 300 ------>为避免NFPP产生的LOG太多,调整每次打印一条相同log信息的阀值为300秒
关闭上联接口的NFPP
Ruijie(config)#int g0/25
Ruijie(config-if-GigabitEthernet 0/25)#no nfpp arp-guard enable 关闭接口的ARP-guard功能,关闭该功能后,该接口进入的数据报文不进行NFPP检测
Ruijie(config-if-GigabitEthernet 0/25)#no nfpp dhcp-guard enable 关闭接口的dhcp-guard功能,关闭该功能后,该接口进入的数据报文不进行NFPP检测
Ruijie(config-if-GigabitEthernet 0/25)#no nfpp dhcpv6-guard enable 关闭接口的dhcpv6-guard功能,关闭该功能后,该接口进入的数据报文不进行NFPP检测
Ruijie(config-if-GigabitEthernet 0/25)#no nfpp icmp-guard enable 关闭接口的icmp-guard功能,关闭该功能后,该接口进入的数据报文不进行NFPP检测
Ruijie(config-if-GigabitEthernet 0/25)#no nfpp ip-guard enable 关闭接口的ip-guard功能,关闭该功能后,该接口进入的数据报文不进行NFPP检测
Ruijie(config-if-GigabitEthernet 0/25)#no nfpp nd-guard enable 关闭接口的nd-guard功能,关闭该功能后,该接口进入的数据报文不进行NFPP检测
mstp
默认stp是关闭状态
Ruijie(config)#spanning-tree ------>开启生成树
Ruijie(config)#no spanning-tree ------>关闭生成树
#生成树开启后默认mstp
Ruijie(config)#spanning-tree mode ? ------>修改生成树类型
mstp Multiple spanning tree protocol(IEEE 802.1s)
rstp Rapid spanning tree protocol(IEEE 802.1d-2004)
stp Spanning tree protocol(IEEE 802.1d-1998)
查看信息
# 查看mstp的配置信息
Ruijie#show spanning-tree mst configuration
# 恢复缺省配置
Ruijie(config)#spanning-tree reset
mstp配置
# 进入mstp 配置模式
Ruijie(config)#spanning-tree mst configuration
# 配置 mstp 域名
Ruijie(config-mst)#name hdy
# 配置 mstp 实例映射关系
Ruijie(config-mst)#instance 1 vlan 1
# 配置 mstp 修订级别(默认为0)
Ruijie(config-mst)#revision 0
# 配置 mstp 实例优先级(4096的倍数)
Ruijie(config)#spanning-tree mst 1 priority 4096
VRRP
vrrp配置
Ruijie(config)#int vlan 1
Ruijie(config-if-VLAN 1)#ip add 1.1.1.1 24
# 配置VRRP组和虚拟ip
Ruijie(config-if-VLAN 1)#vrrp 1 ip 1.1.1.254
# 配置VRRP优先级
Ruijie(config-if-VLAN 1)#vrrp 1 priority 110
# 配置VRRP监视接口
Ruijie(config-if-VLAN 1)#vrrp 1 track vlan 1 20
VSU(堆叠)
配置
1、配置S1、S2及S3的VSU域标识,设备编号和优先级
S1交换机配置
S1>enable
S1# configure terminal
S1(config)# switch virtual domain 1 ------>创建VSU domain id
S1(config-vs-domain)# switch 1 ------>创建switch id
S1(config-vs-domain)# switch 1 priority 200 ------>配置switch id的优先级
S1(config-vs-domain)# switch 1 description S1 ------>配置switch id的描述信息
S1(config-vs-domain)# exit
S1(config)# vsl-port------>进入VSL配置模式,建议至少采用2条VSL链路来提升VSU的可靠性,如果条件限制,一条VSL链路也可以
S1(config-vsl-port)# port-member interface Tengigabitethernet 0/25 ------>将Tengigabitethernet 1/0/25加入VSL
S1(config-vsl-port)# port-member interface Tengigabitethernet 0/26 ------>将Tengigabitethernet 1/0/26加入VSL
S1(config-vsl-port)# port-member interface Tengigabitethernet 0/27 ------>将Tengigabitethernet 1/0/27加入VSL
S1(config-vsl-port)# port-member interface Tengigabitethernet 0/28 ------>将Tengigabitethernet 1/0/28加入VSL
S1(config-vsl-port)# exit
S1(config)# exit
S2交换机配置
S2>enable
S2# configure terminal
S2(config)# switch virtual domain 1 ------>创建VSU domain id
S2(config-vs-domain)# switch 2 ------>创建switch id
S2(config-vs-domain)# switch 2 priority 150 ------>配置switch id的优先级
S2(config-vs-domain)# switch 2 description S2------>配置switch id的描述信息
S2(config-vs-domain)# exit
S2(config)# vsl-port------>进入VSL配置模式,建议至少采用2条VSL链路来提升VSU的可靠性,如果条件限制,一条VSL链路也可以
S2(config-vsl-port)# port-member interface Tengigabitethernet 0/25 ------>将Tengigabitethernet 1/0/25加入VSL
S2(config-vsl-port)# port-member interface Tengigabitethernet 0/26 ------>将Tengigabitethernet 1/0/26加入VSL
S2(config-vsl-port)# port-member interface Tengigabitethernet 0/27 ------>将Tengigabitethernet 1/0/27加入VSL
S2(config-vsl-port)# port-member interface Tengigabitethernet 0/28 ------>将Tengigabitethernet 1/0/28加入VSL
S2(config-vsl-port)# exit
S2(config)# exit
S3交换机配置
S3>enable
S3# configure terminal
S3(config)# switch virtual domain 1 ------>创建VSU domain id
S3(config-vs-domain)# switch 3 ------>创建switch id
S3(config-vs-domain)# switch 3 priority 150 ------>配置switch id的优先级
S3(config-vs-domain)# switch 3 description S3 ------>配置switch id的描述信息
S3(config-vs-domain)# exit
S3(config)# vsl-port------>进入VSL配置模式,建议至少采用2条VSL链路来提升VSU的可靠性,如果条件限制,一条VSL链路也可以
S3(config-vsl-port)# port-member interface Tengigabitethernet 0/25 ------>将Tengigabitethernet 1/0/25加入VSL
S3(config-vsl-port)# port-member interface Tengigabitethernet 0/26 ------>将Tengigabitethernet 1/0/26加入VSL
S3(config-vsl-port)# port-member interface Tengigabitethernet 0/27 ------>将Tengigabitethernet 1/0/27加入VSL
S3(config-vsl-port)# port-member interface Tengigabitethernet 0/28 ------>将Tengigabitethernet 1/0/28加入VSL
S3(config-vsu-ap)# exit
S3(config)# exit
S3(config)# exit
2、把S1、S2和S3转换到VSU模式
S1#switch convert mode virtual ------>将交换机转换为VSU模式
Convert switch mode will automatically backup the "config.text" file and then delete it, and reload the switch. Do you want to convert switch to virtual mode? [no/yes]y------>输入y
S2#switch convert mode virtual ------>将交换机转换为VSU模式
Convert switch mode will automatically backup the "config.text" file and then delete it, and reload the switch. Do you want to convert switch to virtual mode? [no/yes]y------>输入y
S3#switch convert mode virtual ------>将交换机转换为VSU模式
Convert switch mode will automatically backup the "config.text" file and then delete it, and reload the switch. Do you want to convert switch to virtual mode? [no/yes]y------>输入y
接着交换机会进行重启,并且进行VSU的选举,这个时间可能会比较长,请耐心等待
3、等待VSU建立成功后,进行BFD配置
Ruijie#configure terminal
Ruijie(config)#interface GigabitEthernet 1/0/24 ------>第一台VSU设备的第24个接口
Ruijie(config-if-GigabitEthernet 1/0/24)#no switchport ------>只需要在BFD接口上敲no sw,无需其他配置
Ruijie(config-if-GigabitEthernet 1/0/24)#exit
Ruijie(config)#interface GigabitEthernet 2/0/24 ------>第二台VSU设备的第24个接口
Ruijie(config-if-GigabitEthernet 1/0/24)#no switchport ------>只需要在BFD接口上敲no sw,无需其他配置
Ruijie(config-if-GigabitEthernet 2/0/24)#exit
Ruijie(config)#switch virtual domain 1
Ruijie(config-vs-domain)#dual-active detection bfd
Ruijie(config-vs-domain)#dual-active bfd interface GigabitEthernet 1/0/24
Ruijie(config-vs-domain)#dual-active bfd interface GigabitEthernet 2/0/24
4、VSU情况下,需要增加一条VSL线路设置
VSU模式下可以配置增加或者删除某个VSL链路,11.X软件平台中,修改直接生效无需重启设备。
举例:
1)当前要把S1设备的VSL 1/1口中将Te1/0/25移除
Ruijie(config)#vsl-port
Ruijie(config-vsl-port)#port-member interface tenGigabitEthernet 1/0/25
The configuration of port TenGigabitEthernet 1/0/25 will be removed, confirm to continue?[yes/no]:y ---》1/0/25口下的配置将被清空,并确认加入到VSL链路中
2)将Te1/0/25再加入到S1设备的VSL 1/1口中
Ruijie(config-vsl-port)#no port-member interface tenGigabitEthernet 1/0/25
% The port TenGigabitEthernet 1/0/25 will be in shutdown status after the port type is converted. ---》当1/0/25口从VSL链路移除后,1/0/25口将被Shutdown
五、功能验证
1、查看VSU的基本信息,VSU的三种状态 ACTIVE STANDBY CANDIADATE
Ruijie#show switch virtual role
Switch_id Domain_id Priority Position Status Role Description
----------------------------------------------------------------------------------------------------------------
1(1) 1(1) 200(200) LOCAL OK ACTIVE S1
2(2) 1(1) 150(200) LOCAL OK STANDBY S2
3(3) 1(1) 100(200) LOCAL OK CANDIDATE S3
2、通过show switch virtual config 可以查看当前设备VSU的配置信息
3、查看show switch virtual dual-active summary可以查看VSU的BFD检测信息
Ruijie#show switch virtual dual-active summary
BFD dual-active detection enabled: Yes ----》BFD的状态
Aggregateport dual-active detection enabled: No
Interfaces excluded from shutdown in recovery mode:
In dual-active recovery mode: No
4、通过show switch virtuanl link可以查看VSL信息
5、通过show switch virtual topology可以查看当前VSU拓扑信息
OSPF
配置
R1(config)#router ospf 1 ----->启用ospf协议,进程号为1
R1(config-router)#network 192.168.1.1 0.0.0.0 area 1 ----->对192.168.1.1的接口启用ospf,区域号为1
# 调整ospf的网络类型
R2(config)#interface fastEthernet 0/1
R2(config-if-FastEthernet 0/1)#ip ospf network point-to-point
# 查看ospf的邻居关系
R2(config)#show ip ospf neighbor
# 重分发(路由引入)
# 如下是以ospf引入静态路由做为示例,其他路由协议也一样。
SW1(config)#router ospf 1
# 重分发静态路由
SW1(config-router)#redistribute static subnets
### 注:将路由重分发进ospf,一定要加subnets,否则只会重分发主类网络路由
# 重分发路由进OSPF中使用类型1
S4(config-router)#redistribute connected metric-type 1 subnets
# spf在引入外部路由的时候,引入的外部路由有2种metric类型,类型1和2
# a、类型1,路由在ospf域内传输时叠加内部cost,若内部网络需要对该外部路由选路时,建议使用类型1(默认引入的外部路由为类型2)
# b、类型2,路由在ospf域内传输时不叠加内部cost
R1(config)#router ospf 1
R1(config-router)#redistribute static metric-type ?
1 Set OSPF External Type 1 metrics
2 Set OSPF External Type 2 metrics
# OSPF如何配置下发缺省路由
# 1)STUB,Total Stub,nssa no-summary区域自动下发缺省路由
# 2)NSSA区域ABR默认不会自动下发默认路由,需要在路由器上配置:area 1 nssa default-information-originate
# 3)普通区域通过default-information originate [always]来下发缺省路由
# 更改区域类型
R3(config)#router ospf 1 ----->交换机配置方法同路由器
R3(config-router)#area 2 nssa ----->area 2 配置为nssa区
# 静默接口
S4(config-router)#passive-interface vlan 20
RIP
# 启用rip
SW1(config)# router rip
# 启用rip version 2
SW1(config-router)# version 2
# 关闭自动汇总
SW1(config-router)#no auto-summary
# 把所有接口通告进rip进程,也可以用network命令将指定网段逐个添加
SW1(config-router)# network 0.0.0.0 255.255.255.255
BGP
# 基本配置
SW1(config)#router bgp 123 ----->启用bgp进程,AS号为123
SW1(config-router)#neighbor 2.2.2.2 remote-as 123 ----->指定BGP邻居地址及邻居的AS号
SW1(config-router)#neighbor 2.2.2.2 update-source loopback 0 ----->配置BGP的更新源地址
# 将路由宣告进bgp
SW1(config)#router bgp 123
SW1(config-router)#network 10.1.1.0 mask 255.255.255.0
# 查看bgp邻居关系
SW1#show ip bgp summary
PPP
# 1、进入接口,将接口封装为PPP帧模式;
# 注意,两端封装模式必须一致,同为PPP或同为HDLC。
RSR-A(config)#interface Serial 3/1/0
RSR-A (config-if - Serial 3/1/0)# encapsulation PPP //封装为PPP
2、配置IP地址;
RSR-A(config-if -Serial 3/1/0)#ip address 172.16.1.1 255.255.255.252 //配置IP
RSR-B(config-if -Serial 3/1/0)#ip address 172.16.1.2 255.255.255.252 //配置IP
PPP封装的接口,两端地址可以不在同一个网段;在L2TP/PPTP等VPN应用中,两端地址可能就不在一个网段;在实际的点到点广域网链路中,一般会配置为一个网段;
3、配置CHAP认证 或者 配置 PAP认证 (可选);
1)PPP认证可以加强线路的安全性,是否启用认证不影响通信;是否启用可根据实际部署选择
2)一般,一条PPP链路的认证,只要一端为认证服务端,一段为认证客户端;一般不需进行双向认证
3)下面例子中,以RSR-A为认证服务端,RSR-B为认证客户端
CHAP认证配置:
认证服务端配置:
RSR-A (config-if - Serial 3/1/0)# ppp authentication chap //启用链路chap认证
RSR-A(config)#username ruijie password 123 //创建帐号,用于客户端chap认证拨入;也可以通过AAA来进行帐号管理,AAA的配置参考”AAA“章节(参考:典型配置--->安全--->AAA)
认证客户端配置:
RSR-B (config-if - Serial 3/1/0)#ppp chap hostname ruijie //CHAP认证用户名
RSR-B (config-if - Serial 3/1/0)# ppp chap password 123 //CHAP认证密码
用户名密码需要和对端设备的本地或AAA帐号一致;注意,后面不要敲空格。
PAP认证配置:
认证服务端配置:
RSR-A (config-if - Serial 3/1/0)# ppp authentication PAP //启用链路PAP认证
RSR-A(config)#username ruijie password 123 //创建帐号,用于客户端chap认证拨入;也可以通过AAA来进行帐号管理,AAA的配置参考”AAA“章节(参考:典型配置--->安全--->AAA)
认证客户端配置:
RSR-B (config-if - Serial 3/1/0)#ppp pap sent-username ruijie password 0 123 //PAP认证用户名密码
用户名密码需要和对端设备的本地或AAA帐号一致;注意,后面不要敲空格。
# ppp 捆绑
# 创建mp组
R1(config)#int multilink 1
R1(config-if-multilink 1)#exit
R1(config)#int s3/0
# 封装为PPP
R1(config-if-Serial 3/0)#encapsulation ppp
# 启用multilink功能
R1(config-if-Serial 3/0)#ppp multilink
# 加入聚合组1
R1(config-if-Serial 3/0)#ppp multilink group 1
PBR(策略路由)
1、在R1上配置ACL,把内网的流量匹配出来
R1(config)#ip access-list standard 10 //配置ACL 10,匹配内网172.16.1.0/24
R1(config-std-nacl)#10 permit 172.16.1.0 0.0.0.255
R1(config-std-nacl)#exit
R1(config)#ip access-list standard 20 //配置ACL 20,匹配内网172.16.2.0/24
R1(config-std-nacl)#10 permit 172.16.2.0 0.0.0.255
R1(config-std-nacl)#exit
4、配置策略路由
R1(config)#route-map ruijie permit 10 //配置route-map ruijie
R1(config-route-map)#match ip address 10 //匹配内网acl 10的流量
R1(config-route-map)#set ip next-hop 192.168.2.2 //强制设置ip报文的下一跳为 192.168.2.2,走R3出口
R1(config-route-map)#exit
R1(config)#route-map ruijie permit 20
R1(config-route-map)#match ip address 20
R1(config-route-map)#set ip next-hop 192.168.3.2
R1(config-route-map)#exit
注意:
1)route-map的匹配顺序为从上往下匹配,当流量匹配到策略后,就按匹配的策略转发数据,不会继续往下匹配。
2)route-map 最后有有一条deny所有的语句,对于没有匹配到策略路由的流量,不会把内网的流量丢弃,而是做正常的ip 路由转发。
3)set ip next-hop 可以设置下一跳ip地址,也可以设置数据包的出接口,建议设置为下一跳的ip地址。
5、应用策略路由
R1(config)#interface gigabitEthernet 0/0
R1(config-GigabitEthernet 0/0)#ip policy route-map ruijie //应用策略路由
R1(config-GigabitEthernet 0/0)#exit
注意:
策略路由一定要应用到数据包的in方向接口,不能应用到数据包的out方向接口。因为策略路由实际上是在数据包进路由器的时候,强制设置数据包的下一跳,out方向接口,路由器已经对数据包做完ip路由,把数据包从接口转发出去了,故out方向策略路由不生效。
NAT
配置
# 定义NAT的内外网口
R1(config)#interface gigabitEthernet 0/1
R1(config-GigabitEthernet 0/1)#ip nat outside
R1(config-GigabitEthernet 0/1)#int gigabitEthernet 0/0
R1(config-GigabitEthernet 0/0)#ip nat inside
# 用ACL抓取数据流
R1(config)#ip access-list standard 10
R1(config-std-nacl)#10 permit 172.16.1.0 0.0.0.255
------------------------------------------------------------------------
# easy nat
# 将acl 10匹配的流量,执行nat转换,转换成gigabitEthernet 0/1口的地址
R1(config)#ip nat inside source list 10 interface gigabitEthernet 0/1 overload
------------------------------------------------------------------------------
# 配置公网地址池
# 配置一个名字为ruijie的公网地址池
R1(config)#ip nat pool ruijie netmask 255.255.255.0
# 公网地址的起始ip地址,结束ip地址
R1(config-ipnat-pool)#address 192.168.2.10 192.168.2.11
# 若有多个公网地址,但是不连续,可以配置多个公网地址段
R1(config-ipnat-pool)#address 192.168.2.15 192.168.2.15
R1(config-ipnat-pool)#exit
# 将acl 10匹配的流量,执行nat转换,转换成地址池ruijie里面的地址
R1(config)#ip nat inside source list 10 pool ruijie overload
-------------------------------------------------------------------------
# 静态NAT
1)基于ip地址的一对一映射
# 把内网172.16.1.100 映射成公网的192.168.2.168
R1(config)#ip nat inside source static 172.16.1.100 192.168.2.168 permit-inside
2)基于TCP、UDP协议的端口映射
# 把内网172.16.1.100 tcp 23端口 映射成公网的192.168.2.168 的23端口
R1(config)#ip nat inside source static tcp 172.16.1.100 80 192.168.2.168 80 permit-inside
overload参数是执行nat重载的含义,若不加overload是执行动态的ip一对一映射,不会执行端口转换,不能解决公网地址不够的问题。若是在网络出口执行NAT,是为了解决公网地址不够的问题,必须要加overload参数。
permit-inside功能:当有内网服务器静态映射成公网地址时,内网PC若需要通过该公网地址访问服务器,就必须配置permit-inside参数,在配置静态nat时,建议都配置permit-inside参数。
无线
#密码
胖AP:console密码是admin,没有默认enable密码。
瘦AP:console密码是ruijie,enable密码是apdebug
# 开启ac控制器的web界面
Ruijie#configure terminal
Ruijie(config)#enable service web-server
# 瘦ap恢复密码
设备重启
进入bootloader菜单后,同时输入Ctrl键和Q键,进入uboot命令行
在uboot命令行状态下,输入命令main_config_password_clear
此时设备会重启,并且进如特权模式不需要密码,在第一次进入特权模式时修改密码
# 查看AC与AP建立隧道的情况
Ruijie#show capwap state
index peer device state
# “run”为成功关联状态,如果不是该状态请参考 无线wlan产品故障一本通相关章节
CAPWAP tunnel state, 1 peers, 1 is run:
Index Peer IP Port State Mac Address
1 192.16.50.4 10000 Run 5869.6cf8.745e
CAPWAP
AP上线必须先跟AC建立CAPWAP隧道,通过CAPWAP建立联系。
建立过程:1.AP获取IP地址
2.AP发现AC(Discovery)
3.AP请求加入AC(Join)
4.AP自动升级(Image data)
5.AP配置下发(Configuration)
6.AP配置确认(Data check)
7.通过 capwap隧道转发数据(Run)
# 相关命名
# 静态配置AP的地址
Ruijie(config)# apip ipv4 192.168.1.3 255.255.255.0 192.168.1.1
# 静态配置AP的AC地址
Ruijie(config)# acip ipv4 1.1.1.1
# DHCP下发AC地址
Ruijie(dhcp-config)# option 138 ip 1.1.1.1
# 把AC上的1.1.1.1的地址手动作为capwap地址
Ruijie(config)# ac-controller
# 手动把AC的1.1.1.1设为capwap隧道地址
Ruijie(config-ac)# capwap ctrl-ip 1.1.1.1
集中转发:所有无线流量都会经过AC进行转发
本地转发:直接转发,不经过AC
这是说的旁挂AC的情况
AC配置
Wlan-config配置,创建SSID
# 配置wlan-config ,id是1,SSID(无线信号)是Ruijie,11.x默认允许广播SSID。
Ruijie(config)#wlan-config 1 Ruijie
Ruijie(config-wlan)#exit
# ap-group配置,关联wlan-config和用户vlan
# default组默认关联到所有AP上
Ruijie(config)#ap-group default
# 把wlan-config 1和vlan 20进行关联,“1”是wlan-config,“20”是用户vlan
Ruijie(config-ap-group)#interface-mapping 1 20 ap-wlan-id 1
Ruijie(config-ap-group)#exit
# 注意:默认所有AP都关联到ap-group default组,如果要调用新定义的ap-group,那么需要在相应的ap-config中配置ap-group xx。 第一次部署时每个AP的ap-config名称默认是AP的MAC地址(背面的贴纸mac,非以太网接口mac)。
# 将SSID模式调整为本地转发
AC(config)#wlan-config 1 ruijie
# 开启wlan-id 1 的本地转发功能
AC(config-wlan)#tunnel local
AC(config-wlan)#exit
# 在无线控制器上使用以下命令查看AP的配置:
Ruijie#show ap-config summary
# 查看关联到无线的无线客户端
Ruijie#show ac-config client by-ap-name
一个AC管理多个AP,每个AP放射的wifi信号不同配置思路
这种情况下ap-group就不能用default了,首先保证AP能获取到地址正常上线到AC上,然后在AC上用show ap-config summary命令查看AP Name,就是AP设备的MAC地址,然后进行ap-group AP-NAME 进行单台设备配置wlan-config。
接入加密
# WPA2共享密钥认证
Ruijie(config)#wlansec 1
# 开启无线加密功能
Ruijie(config-wlansec)#security rsn enable
# 无线启用AES加密
Ruijie(config-wlansec)#security rsn ciphers aes enable
# 无线启用共享密钥认证方式
Ruijie(config-wlansec)#security rsn akm psk enable
# 无线密码,密码位数不能小于8位
Ruijie(config-wlansec)#security rsn akm psk set-key ascii 1234567890
ARP防欺骗
# 全局启用dhcp snooping
AC(config)#ip dhcp snooping
AC(config)#interface gigabitEthernet 0/1
# 上联接口配置为信任端口,如果DHCP服务器在AC上,那么不用配置该命令
AC(config-if-GigabitEthernet 0/1)#ip dhcp snooping trust
AC(config-if-GigabitEthernet 0/1)#exit
# 配置ARP防护功能(开启arp防护需要让已经在线的终端下线再关联无线)
# 未开启Web认证功能时
AC(config)#wlansec 1
# 开启IP防护功能
AC(config-wlansec)#ip verify source port-security
# 开启ARP检测功能
AC(config-wlansec)#arp-check
AC(config-wlansec)#end
AC#write
#清除arp及 proxy_arp表
AC#clear arp-cache
AC#clear proxy-arp
用户隔离
# 无线用户隔离类型有5种:基于AC用户隔离、基于AP用户隔离、基于SSID-AC用户隔离、基于SSID-AP用户隔离、基于wlan-id num互通二层用户隔离(使能指定 wlan-id(ssid)互通的二层用户隔离功能) :
# 基于AC用户隔离,即开启AC下不同AP间的用户不能互相访问
AC(config)#wids
AC(config-wids)#user-isolation ac enable
AC(config-wids)#exit
# 基于AP用户隔离,同一个AP用户不能互相访问
AC(config)#wids
AC(config-wids)#user-isolation ap enable
AC(config-wids)#exit
# 基于SSID-AC用户隔离,即AC下不同AP间相同WLAN的用户不能互相访问
AC(config)#wids
AC(config-wids)#user-isolation ssid-ac enable
AC(config-wids)#exit
# 基于SSID-AP用户隔离,即AP上相同WLAN内用户不能互相访问
AC(config)#wids
AC(config-wids)#user-isolation ssid-ap enable
AC(config-wids)#exit
# 基于wlan-id num互通二层用户隔离,即开启某一个特定的wlan下的用户隔离,开启后这个wlan内的用户不能互相访问
AC(config)#wids
AC(config-wids)#user-isolation wlan-id num enable (num为wlan-id的编号)
AC(config-wids)#exit
优化
# 无线关闭低速率集
1)推荐将11b/g 1M、2M、5M,11a 6M、9M 等低速率集进行关闭,避免个别用户发送过多低速报文影响整体无线性能。
AC(config)#ac-controller
# 禁用11b相应的速率,恢复方法为将disabled修改为support
AC(config-ac)# 802.11b network rate 1 disabled
AC(config-ac)# 802.11b network rate 2 disabled
AC(config-ac)# 802.11b network rate 5 disabled
# 禁用11g相应的速率,恢复方法为将disabled修改为support
AC(config-ac)# 802.11g network rate 1 disabled
AC(config-ac)# 802.11g network rate 2 disabled
AC(config-ac)# 802.11g network rate 5 disabled
# 禁用11a相应的速率 ,恢复方法为将disabled修改为support
AC(config-ac)# 802.11a network rate 6 disabled
AC(config-ac)# 802.11a network rate 9 disabled
# AP用户数调整
# 调整AP用户数限制,避免AP带用户数过多影响整体性能。单台AP限制多少用户需要根据客户需求确定。
AC(config)#ap-config ap220-e
# 对整机AP用户数限制
AC(config-ap)#sta-limit 40
# 对AP单个射频卡用户数限制,数量不能大于整机数量
AC(config-ap)#sta-limit 20 radio 1
# 无线边缘感知技术
# 用于AP与AC间链路不稳定的情况下,AP与AC的隧道断开期间,AP仍能提供服务,对于本地转发的wlan,STA仍然能接入网络,并访问本地资源。
# AC无线交换机配置
# 创建wlan,配置转发模式为本地转发。
Ruijie#configure terminal
Ruijie(config)#wlan-config 1 ssid
Ruijie(config-wlan)#tunnel local----->配置为本地转发,才能让AP与AC断开后,STA的通信不中断
Ruijie(config-wlan)#exit
# ap-group 映射wlan id 和vlan id配置
Ruijie(config)#ap-group group1 ----->创建AP组
Ruijie(config-ap-group)#interface-mapping 1 10 ----->将需要部署的wlan与vlan映射
Ruijie(config-ap-group)#exit
# 配置AP所属的ap-group,并开启RIPT
Ruijie(config)#ap-config ap1
Ruijie(config-ap)#ap-group group1----->加入AP组,AP加入AP组才能部署wlan配置
Ruijie(config-ap)#ript enable ----->开启RIPT功能
# 保存配置
Ruijie(config-ap)#end
Ruijie#write
网关设备
web protal认证
进入web页面点点点就行了,具体操作方法去查看锐捷官方命令手册