銳捷交換機(jī)路由器配置教程

1、銳捷交換機(jī)路由器配置教程目 錄第一章：設(shè)備配置和文件管理 . .4 1.1 通過 TELNET 方式來配置設(shè)備 . .4 1.2 更改 IOS 命令的特權(quán)等級(jí) .4 1.3 設(shè)備時(shí)鐘設(shè)置 .5 第二章：交換機(jī)基礎(chǔ)配置 . .5 2.1 交換機(jī) vlan 和 trunk 的置 . .5 2.2 turnk 接口修剪配置 .6 2.3 PVLAN 配置 . .7 2.4 端口匯聚配置 . .8 2.5 生成樹配置 . .9 2.6 端口鏡像配置 . .9 第三章：交換機(jī)防止 ARP 欺騙置 . .10 3.1 交換機(jī)地址綁定（ address-bind ）功能 .10 3.2 交換機(jī)端口安全功能

2、.10 3.3 交換機(jī) arp-check 功能 . .11 3.4 交換機(jī)ARP動(dòng)態(tài)檢測(cè)功能(DAI). .11 第四章：訪問控制列表配置（ACL）. . .12 4.1 標(biāo)準(zhǔn)ACL配置.12 4.2 擴(kuò)展ACL配置.13 4.3 VLAN之間的ACL配置. . .13 4.4 單向ACL的配置.15 第五章：應(yīng)用協(xié)議配置.16 5.1 DHCP服務(wù)配置. .16 5.2 交換機(jī)dot1x認(rèn)證配置.18 5.3 QOS限速配置. .19 5.4 IPsec配置. .20 5.5 GRE配置. . .22 5.6 PPTP 配置 .22 5.7 路由器L2TP配置.23 5.8 路由器 NAT

3、 配置 .24 第六章：路由協(xié)議配置 .25 6.1 默認(rèn)路由配置.25 6.2 靜態(tài)路由配置.25 6.3 浮動(dòng)路由配置.25 6.4 策略路由配置 .25 6.5 OSPF 配置. .26 6.6 OSPF 中 router ID 配置.27第一章：設(shè)備配置和文件管理 1.1 通過 TELNET 方式來配置設(shè)備 提問：如何通過 telnet 方式來配置設(shè)備？ 回答： 步驟一：配置 VLAN1 的 IP 地址 S5750en - 進(jìn)入特權(quán)模式 S5750#conf - 進(jìn)入全局配置模式 S5750(config)#int vlan 1 - 進(jìn)入 vlan 1 接口 S5750(config-

4、if)#ip address 30 - 為 vlan 1 接口上設(shè)置管理 ip S5750(config-if)#exit -退回到全局配置模式 步驟二：配置telnet密碼 S5750(config)#line vty 0 4 -進(jìn)入telnet密碼配置模式 S5750(config-line)#login -啟用需輸入密碼才能telnet成功 S5750(config-line)#password rscstar -將telnet密碼設(shè)置為rscstar S5750(config-line)#exit -回到全局配置模式 S5750(con

5、fig)#enable secret 0 rscstar -配置進(jìn)入特權(quán)模式的密碼為rscstar 步驟三：開啟SSH服務(wù)（可選操作） S5750(config)#enable service ssh-server -開啟ssh服務(wù) S5750(config)#ip ssh version 2 -啟用ssh version 2 S5750(config)#exit - 回到特權(quán)模式 S5750#wri -保存配置1.2 更改 IOS 命令的特權(quán)等級(jí) 提問：如何只允許dixy這個(gè)用戶使用與ARP相關(guān)的命令？ 回答： S5750(config)#username dixy password dix

6、y - 設(shè)置 dixy 用戶名和密碼S5750(config)#username dixy privilege 10 -dixy 帳戶的權(quán)限為 10 S5750(config)#privilege exec level 10 show arp - 權(quán)限 10 可以使用 show arp 命令 S5750(config)#privilege config all level 10 arp - 權(quán)限 10 可以使用所有 arp 打頭的命令 S5750(config)#line vty 0 4 - 配置 telnet 登陸用戶 S5750(config-line)#no password S5750

7、(config-line)#login local 注釋： 15 級(jí)密碼為 enable 特權(quán)密碼，無法更改， 0 級(jí)密碼只能支持 disable ， enable ， exit和 help ， 1 級(jí)密碼無法進(jìn)行配置。1.3 設(shè)備時(shí)鐘設(shè)置 提問：如何設(shè)置設(shè)備時(shí)鐘？ 回答： S5750#clock set 12:45:55 11 25 2008 - -設(shè)置時(shí)間為2008年11月25日12點(diǎn)45分55秒 S5750#clock update-calendar -設(shè)置日歷更新 S5750(config)#clock timezone CN 8 22 -時(shí)間名字為中國(guó)，東8區(qū)22分 第二章：交換機(jī)基

8、礎(chǔ)配置2.1 交換機(jī)vlan和trunk的配置 提問：如何在交換機(jī)上劃分 vlan ，配置 trunk 接口？ 回答： 步驟一：給交換機(jī)配置IP地址 S2724G#conf S2724G(config)#int vlan 1 S2724G(config-if)#ip addess 00 - 給 VLAN 1 配置 IP 地址 S2724G(config-if)#no shutdown - 激活該 VLAN 接口 S2724G(config-if)#exit S2724G(config)#ip default-gateway 192.168.0.

9、1 - 指定交換機(jī)的網(wǎng)關(guān)地址 步驟二：創(chuàng)建 VLAN S2724G#conf S2724G(config)#vlan 10 - 創(chuàng)建 VLAN 10 S2724G(config-vlan)#exit S2724G(config)# vlan 20 - 創(chuàng)建 VLAN 20 S2724G(config-vlan)#exit 步驟三：把相應(yīng)接口指定到相應(yīng)的 VLAN 中 S2724G(config)#int gi 0/10 S2724G(config-if)#switch access vlan 10 -把交換機(jī)的第10端口劃到VLAN 10中 S2724G(config-if)#exit S27

10、24G(config)#int gi 0/20 S2724G(config-if)#switch access vlan 20 -把交換機(jī)的第20端口劃到VLAN 20中 S2724G(config-if)#exit S2724G(config)#int gi 0/24 S2724G(config-if)#switch mode trunk-設(shè)置24口為Trunk模式（與三層交換機(jī)的連接口 S2724G(config-if)# 步驟四：保存配置 S2724G(config-if)#end S2724G#write2.2 turnk接口修剪配置 提問：如何讓 trunk 接口只允許部分 vlan

11、 通過？回答： Switch(config)#int fa 0/24 Switch (config-if)#switch mode trunk Switch (config-if)#switchport trunk allowed vlan remove 10,20,30-40 - 不允許 VLAN10,20,30-40 通過 Trunk 口 2.3 PVLAN 配置 提問：如何實(shí)現(xiàn)幾組用戶之間的隔離，但同時(shí)又都能訪問公用服務(wù)？ 回答： 步驟一：創(chuàng)建隔離 VLAN S2724G#conf S2724G(config)#vlan 3 -創(chuàng)建VLAN3 S2724G(config-vlan)#pr

12、ivate-vlan community -將VLAN3設(shè)為隔離VLAN S2724G(config)#vlan 4 -創(chuàng)建VLAN4 S2724G(config-vlan)#private-vlan community -將VLAN4設(shè)為隔離VLAN S2724G(config-vlan)#exit -退回到特權(quán)模式 步驟二：創(chuàng)建主VLAN S2724G(config)#vlan 2 -進(jìn)入VLAN2 S2724G(config-vlan)#private-vlan primary -VLAN2為主VLAN 步驟三：將隔離 VLAN 加到到主 VLAN 中 VLANS2724G(config

13、-vlan)#private-vlan association add 3-4 - 將 VLAN3 和 VLAN4 加入到公用 VLAN 中， VLAN3 和 VLAN4 的用戶可以訪問公用接口 步驟四：將實(shí)際的物理接口與VLAN相對(duì)應(yīng) S2724G(config)#interface GigabitEthernet 0/1 - -進(jìn)入接口1，該接口連接服務(wù)器或者上聯(lián)設(shè)備 S2724G(config-if)#switchport mode private-vlan promiscuous - - 接口模式為混雜模式 S2724G(config-if)#switchport private-vl

14、an mapping 2 add 3-4 - - 將 VLAN3 和 VLAN4 映射到 VLAN2 上 S2724G(config)#int gi 0/10 - 進(jìn)入接口 10 S2724G(config-if)#switchport mode private-vlan host S2724G(config-if)#switchport private-vlan host-association 2 3 - - 該接口劃分入 VLAN3 S2724G(config)#int gi 0/20 - 進(jìn)入接口 20 S2724G(config-if)#switchport mode private

15、-vlan host S2724G(config-if)#switchport private-vlan host-association 2 4 - - 該接口劃分入 VLAN4 步驟五：完成 VLAN 的映射 S2724G(config)#int vlan 2 -進(jìn)入VLAN2的SVI接口 S2724G(config-if)#ip address - -配置VLAN2的ip地址 S2724G(config-if)#private-vlan mapping add 3-4 - - -將VLAN3和VLAN4加入到VLAN2中 注釋： 1.

16、S20、S21不支持私有VLAN，可以通過保護(hù)端口實(shí)現(xiàn)類似功能 2. S3250、S3750和S5750同時(shí)支持保護(hù)端口和私有VLAN 3. S3760不支持私有VLAN和保護(hù)端口2.4 端口匯聚配置 提問：如何將交換機(jī)的端口捆綁起來使用？ 回答： S5750#conf S5750(config)#interface range gigabitEthernet 0/1 4 - 同時(shí)進(jìn)入 1 到 4 號(hào)接口 S5750(config-if)#port-group 1 -設(shè)置為聚合口1 S5750(config)#interface aggregateport 1 -進(jìn)入聚合端口1 注意：配置為A

17、P口的接口將丟失之前所有的屬性，以后關(guān)于接口的操作只能在AP1口上面進(jìn)行 2.5 生成樹配置 提問：如何配置交換機(jī)的生成樹？ 回答： 步驟一：根橋的設(shè)置 switch_A#conf t switch_A(config)#spanning-tree - 默認(rèn)模式為 MSTP switch_A(config)#spanning-tree mst configuration switch_A(config)#spanning-tree mst 10 priority 4096 - 設(shè)置為根橋 步驟二：非根橋的設(shè)置 switch_B#conf t switch_B(config)#spanning-t

18、ree -默認(rèn)模式為MSTP switch_B(config)#spanning-tree mst configuration switch_B(config)#int f0/1 -PC的接入端口 switch_B(config)#spanning-tree bpduguard enable switch_B(config)#spanning-tree portfast 2.6 端口鏡像配置 提問：如何配置交換機(jī)的端口鏡像？ 回答： switch#conf t switch#(config)# switch (config)# monitor session 1 source interfac

19、e gigabitEthernet 3/1 both - 監(jiān)控源口為 g3/1 switch (config)# monitor session 1 destination interface gigabitEthernet 3/8 switch - 監(jiān)控目的口為 g3/8 ，并開啟交換功能 注意： S2026 交換機(jī)鏡像目的端口無法當(dāng)做普通接口使用 第三章：交換機(jī)防止 ARP 欺騙配置3.1 交換機(jī)地址綁定（ address-bind ）功能 提問：如何對(duì)用戶 ip+mac 進(jìn)行兩元素綁定？ 回答： S5750#conf S5750(config)# address-bind 192.168

20、.0.101 0016.d390.6cc5 - 綁定 ip 地址為 01 MAC 地址為 0016.d390.6cc5 的主機(jī)讓其使用網(wǎng)絡(luò) S5750(config)# address-bind uplink GigabitEthernet 0/1 - 將 g0/1 口設(shè)置為上聯(lián)口，也就是交換機(jī)通過 g0/1 的接口連接到路由器或是出口設(shè)備，如果接口選擇錯(cuò)誤會(huì)導(dǎo)致整網(wǎng)不通 S5750(config)# address-bind install -使能address-bind功能 S5750(config)#end -退回特權(quán)模式 S5750# wr -保存配置 注釋： 1

21、. 如果修改ip或是MAC地址該主機(jī)則無法使用網(wǎng)絡(luò)，可以按照此命令添加多條，添加的條數(shù)跟交換機(jī)的硬件資源有關(guān) 2. S21交換機(jī)的address-bind功能是防止Ip沖突，只有在交換機(jī)上綁定的才進(jìn)行ip和MAC的匹配，如果下邊用戶設(shè)置的ip地址在交換機(jī)中沒綁定，交換機(jī)不對(duì)該數(shù)據(jù)包做控制，直接轉(zhuǎn)發(fā)。3.2 交換機(jī)端口安全功能 提問：如何對(duì)用戶ip+mac+接口進(jìn)行三元素綁定？ 回答： S5750#conf S5750(config)# int g0/23 - 進(jìn)入第 23 接口，準(zhǔn)備在該接口綁定用戶的 MAC 和 ip 地址 S5750(config-if)# switchport port-

22、security mac-address 0016.d390.6cc5 ip-address 01- 在 23 端口下綁定 ip 地址是 01 MAC 地址是 0016.d390.6cc5 的主機(jī)，確保該主機(jī)可以正常使用網(wǎng)絡(luò)，如果該主機(jī)修改 ip 或者 MAC 地址則無法使用網(wǎng)絡(luò)，可以添加多條來實(shí)現(xiàn)對(duì)接入主機(jī)的控制 S5750(config-if)# switchport port-security - 開啟端口安全功能 S5750(config)#end - 退會(huì)特權(quán)模式 S5750# wr - 保存配置 注釋：可以通過在接口下設(shè)置最大的安全地址個(gè)

23、數(shù)從而來控制控制該接口下可使用的主機(jī)數(shù)，安全地址的個(gè)數(shù)跟交換機(jī)的硬件資源有關(guān) 3.3 交換機(jī) arp-check 功能 提問：如何防止錯(cuò)誤的arp信息在網(wǎng)絡(luò)里傳播？ 回答： S5750#conf S5750(config)# int g0/23 -進(jìn)入第23接口，準(zhǔn)備在該接口綁定用戶的MAC和ip地址 S5750(config-if)# switchport port-security mac-address 0016.d390.6cc5 ip-address 01 -ip+mac綁定信息 S5750(config-if)# switchport port-securit

24、y -開啟端口安全功能 S5750(config-if)# switchport port-security arp-check - 開啟端 arp 檢查功能 S5750(config)#end - 退會(huì)特權(quán)模式 S5750# wr - 保存配置 注釋：開啟 arp-check 功能后安全地址數(shù)減少一半，具體情況請(qǐng)查閱交換機(jī)配置指南3.4 交換機(jī)ARP動(dòng)態(tài)檢測(cè)功能(DAI) 提問：如何在動(dòng)態(tài)環(huán)境下防止ARP欺騙？ 回答：步驟一： 配置 DHCP snooping S3760#con t S3760(config)#ip dhcp snooping - 開啟 dhcp snooping S376

25、0(config)#int f 0/1 S3760(config-if)#ip dhcp snooping trust - 設(shè)置上連口為信任端口（注意：缺省所有端口都是不信任端口） , 只有此接口連接的服務(wù)器發(fā)出的 DHCP 響應(yīng)報(bào)文才能夠被轉(zhuǎn)發(fā) . S3760(config-if)#exit S3760(config)#int f 0/2 S3760(config-if)# ip dhcp snooping address-bind - 配置 DHCP snooping 的地址綁定功能 S3760(config-if)#exit S3760(config)#int f 0/3 S3760(c

26、onfig-if)# ip dhcp snooping address-bind -配置DHCP snooping的地址綁定功能 步驟二： 配置DAI S3760(config)# ip arp inspection -啟用全局的DAI S3760(config)# ip arp inspection vlan 2 -啟用vlan2的DAI報(bào)文檢查功能 S3760(config)# ip arp inspection vlan 3 -啟用vlan3的DAI報(bào)文檢查功能 第四章：訪問控制列表配置（ ACL ）4.1 標(biāo)準(zhǔn) ACL 配置 提問：如何只允許端口下的用戶只能訪問特定的服務(wù)器網(wǎng)段？ 回答

27、： 步驟一：定義 ACL S5750#conf t -進(jìn)入全局配置模式 S5750(config)#ip access-list standard 1 -定義標(biāo)準(zhǔn)ACL S5750(config-std-nacl)#permit 55 - 允許訪問服務(wù)器資源 S5750(config-std-nacl)#deny any -拒絕訪問其他任何資源S5750(config-std-nacl)#exit - 退出標(biāo)準(zhǔn) ACL 配置模式 步驟二：將 ACL 應(yīng)用到接口上 S5750(config)#interface GigabitEthernet 0/1 - 進(jìn)

28、入所需應(yīng)用的端口 S5750(config-if)#ip access-group 1 in - 將標(biāo)準(zhǔn) ACL 應(yīng)用到端口 in 方向 注釋： 1. S1900 系列、 S20 系列交換機(jī)不支持基于硬件的 ACL 。 2. 實(shí)際配置時(shí)需注意，在交換機(jī)每個(gè) ACL 末尾都隱含著一條“拒絕所有數(shù)據(jù)流”的語句。 3. 以上所有配置，均以銳捷網(wǎng)絡(luò) S5750-24GT/12SFP 軟件版本 10.2 （ 2 ）為例。 其他說明，其詳見各產(chǎn)品的配置手冊(cè)訪問控制列表配置一節(jié)。 4.2 擴(kuò)展 ACL 配置 提問：如何禁止用戶訪問單個(gè)網(wǎng)頁(yè)服務(wù)器？ 回答： 步驟一：定義ACL S5750#conf t -進(jìn)入

29、全局配置模式 S5750(config)#ip access-list extended 100 -創(chuàng)建擴(kuò)展ACL S5750(config-ext-nacl)#deny tcp any host 54 eq www -禁止訪問web服務(wù)器 S5750(config-ext-nacl)#deny tcp any any eq 135 -預(yù)防沖擊波病毒 S5750(config-ext-nacl)#deny tcp any any eq 445 -預(yù)防震蕩波病毒 S5750(config-ext-nacl)#permit ip any any -允許訪問其他任何資源 S57

30、50(config-ext-nacl)#exit -退出ACL配置模式 步驟二：將ACL應(yīng)用到接口上 S5750(config)#interface GigabitEthernet 0/1 -進(jìn)入所需應(yīng)用的端口 S5750(config-if)#ip access-group 100 in - 將擴(kuò)展 ACL 應(yīng)用到端口下 4.3 VLAN 之間的 ACL 配置 提問：如何禁止VLAN間互相訪問？ 回答： 步驟一：創(chuàng)建 vlan10 、 vlan20 、 vlan30S5750#conf - 進(jìn)入全局配置模式 S5750(config)#vlan 10 - 創(chuàng)建 VLAN10 S5750(co

31、nfig-vlan)#exit - 退出 VLAN 配置模式 S5750(config)#vlan 20 - 創(chuàng)建 VLAN20 S5750(config-vlan)#exit - 退出 VLAN 配置模式 S5750(config)#vlan 30 - 創(chuàng)建 VLAN30 S5750(config-vlan)#exit - 退出 VLAN 配置模式 步驟二：將端口加入各自 vlan S5750(config)# interface range gigabitEthernet 0/1-5 - 進(jìn)入 gigabitEthernet 0/1-5 號(hào)端口 S5750(config-if-range)

32、#switchport access vlan 10 -將端口加劃分進(jìn)vlan10 S5750(config-if-range)#exit -退出端口配置模式 S5750(config)# interface range gigabitEthernet 0/6-10 -進(jìn)入gigabitEthernet 0/6-10號(hào)端口 S5750(config-if-range)#switchport access vlan 20 -將端口加劃分進(jìn)vlan20 S5750(config-if-range)#exit -退出端口配置模式 S5750(config)# interface range giga

33、bitEthernet 0/11-15 - 進(jìn)入 gigabitEthernet 0/11-15 號(hào)端口 S5750(config-if-range)#switchport access vlan 30 -將端口加劃分進(jìn)vlan30 S5750(config-if-range)#exit -退出端口配置模式 步驟三：配置vlan10、vlan20、vlan30的網(wǎng)關(guān)IP地址 S5750(config)#interface vlan 10 -創(chuàng)建vlan10的SVI接口 S5750(config-if)#ip address - 配置VLAN

34、10 的網(wǎng)關(guān) S5750(config-if)#exit -退出端口配置模式 S5750(config)#interface vlan 20 -創(chuàng)建vlan10的SVI接口 S5750(config-if)#ip address - 配置 VLAN10 的網(wǎng)關(guān) S5750(config-if)#exit - 退出端口配置模式 S5750(config)#interface vlan 30 - 創(chuàng)建 vlan10 的 SVI 接口 S5750(config-if)#ip address -

35、配置 VLAN10 的網(wǎng)關(guān) S5750(config-if)#exit - 退出端口配置模式 步驟四：創(chuàng)建 ACL ，使 vlan20 能訪問 vlan10 ，而 vlan30 不能訪問 vlan10 S5750(config)#ip access-list extended deny30 - 定義擴(kuò)展 ACL S5750(config-ext-nacl)#deny ip 55 55 - 拒絕 vlan30 的用戶訪問 vlan10 資源 S5750(config-ext-nacl)#permit ip any a

36、ny -允許vlan30的用戶訪問其他任何資源 S5750(config-ext-nacl)#exit -退出擴(kuò)展ACL配置模式 步驟五：將ACL應(yīng)用到vlan30的SVI口in方向 S5750(config)#interface vlan 30 -創(chuàng)建vlan30的SVI接口 S5750(config-if)#ip access-group deny30 in -將擴(kuò)展ACL應(yīng)用到vlan30的SVI接口下4.4 單向ACL的配置 提問：如何實(shí)現(xiàn)主機(jī)A可以訪問主機(jī)B的FTP資源，但主機(jī)B無法訪問主機(jī)A的FTP資源？ 回答： 步驟一：定義 ACL S5750#conf t -進(jìn)入全局配置模式

37、S5750(config)#ip access-list extended 100 -定義擴(kuò)展ACL S5750(config-ext-nacl)#deny tcp any host 54 match-all syn - 禁止主動(dòng)向 A 主機(jī)發(fā)起 TCP 連接 S5750(config-ext-nacl)#permit ip any any - 允許訪問其他任何資源 S5750(config-ext-nacl)#exit - 退出擴(kuò)展 ACL 配置模式步驟二：將 ACL 應(yīng)用到接口上 S5750(config)#interface GigabitEthernet 0/1

38、- 進(jìn)入連接 B 主機(jī)的端口 S5750(config-if)#ip access-group 100 in - 將擴(kuò)展 ACL 應(yīng)用到端口下 S5750(config-if)#end - 退回特權(quán)模式 S5750#wr - 保存 注釋：?jiǎn)蜗?ACL 只能對(duì)應(yīng)于 TCP 協(xié)議，使用 PING 無法對(duì)該功能進(jìn)行檢測(cè)。 第五章：應(yīng)用協(xié)議配置 5.1 DHCP 服務(wù)配置 提問：如何在設(shè)備上開啟DHCP服務(wù)，讓不同VLAN下的電腦獲得相應(yīng)的IP地址？ 回答： 步驟一：配置VLAN網(wǎng)關(guān)IP地址，及將相關(guān)端口劃入相應(yīng)的VLAN中 S3760#con t S3760(config)#vlan 2 -創(chuàng)建VL

39、AN2 S3760(config-vlan)#exit -退回到全局配置模式下 S3760(config)#vlan 3 -創(chuàng)建VLAN3 S3760(config-vlan)#exit -退回到全局配置模式下 S3760(config)#int vlan 2 -進(jìn)入配置VLAN2 S3760(config-if)#ip add -設(shè)置VLAN2的IP地址 S3760(config-if)#exit -退回到全局配置模式下 S3760(config)#int vlan 3 -進(jìn)入配置VLAN3 S3760(config-if)#ip add

40、 - 設(shè)置 VLAN3 的 IP 地址 S3760(config-if)#exit - 退回到全局配置模式下 S3760(config)#int f 0/2 -進(jìn)入接口f0/2 S3760(config-if)#switchport access vlan 2 - 設(shè)置 f0/2 口屬于 VLAN2S3760(config-if)#exit S3760(config)#int f 0/3 - 進(jìn)入接口 f0/3 S3760(config-if)#switchport access vlan 3 - 設(shè)置 f0/3 口屬于 VLAN3 S3760

41、(config-if)#exit 步驟二：配置 DHCP server S3760 (config)#service dhcp - 開啟 dhcp server 功能 S3760 (config)#ip dhcp ping packets 1 - 在 dhcp server 分配 IP 時(shí)會(huì)先去檢測(cè)將要分配的 IP 地址是否已有人使用，如果沒人使用則分配，若已有人使用則再分配下一個(gè) IP S3760 (config)#ip dhcp excluded-address 0 - 設(shè)置排斥地址為 至 0 的

42、ip 地址不分配給客戶端（可選配置） S3760 (config)#ip dhcp excluded-address 0 -設(shè)置排斥地址為至0的ip地址不分配給客戶端（可選配置） S3760 (config)#ip dhcp pool test2 -新建一個(gè)dhcp地址池名為test2 S3760 (dhcp-config)# lease infinite-租期時(shí)間設(shè)置為永久 S3760 (dhcp-config)# network -給客戶端分配的地址

43、段 S3760 (dhcp-config)# dns-server 5 -給客戶端分配的DNS S3760(dhcp-config)# default-router -客戶端的網(wǎng)關(guān) S3760(dhcp-config)#exit S3760(config)#ip dhcp pool test3 - 新建一個(gè) dhcp 地址池名為 test3 S3760(dhcp-config)# lease infinite -租期時(shí)間設(shè)置為永久 S3760(dhcp-config)# network S37

44、60(dhcp-config)# dns-server 5 S3760(dhcp-config)# default-router S3760(dhcp-config)#end S3760#wr5.2 交換機(jī) dot1x 認(rèn)證配置 提問：如何在交換機(jī)上開啟 dot1x 認(rèn)證？ 回答： 步驟一：基本 AAA 配置 Switch#conf Switch(config)# aaa new-model - 啟用認(rèn)證 Switch(config)# aaa accounting network test start-stop group radius -

45、配置身份認(rèn)證方法 Switch(config)# aaa group server radius test Switch(config-gs-radius)# server X.X.X.X - 指定記帳服務(wù)器地址 Switch(config-gs-radius)# exit Switch(config)# aaa authentication dot1x default group radius local -配置dot1x認(rèn)證方法 Switch(config)# radius-server host X.X.X.X -指定認(rèn)證服務(wù)器地址 Switch(config)# radius-serv

46、er key 0 password -指定radius共享口令 Switch(config)# dot1x accounting test -開啟計(jì)帳功能 Switch(config)# dot1x authentication default -開啟認(rèn)證功能 Switch(config)# snmp-server community ruijie rw -指定SNMP共同體字段 Switch(config)# interface range fastethernet 0/1-24 同時(shí)進(jìn)1-24號(hào)接口 Switch(config-if-range)# dot1x port-control a

47、uto -指定受控端口 Switch(config-if-range)# exit -退出接口模式 步驟二：配置客戶端探測(cè)功能 Switch(config)# aaa accounting update -啟用計(jì)帳更新 Switch(config)# aaa accounting update periodic 5 - 指定計(jì)帳更新間隔為 5 分鐘 Switch(config)# dot1x client-probe enable - 啟用客戶端在線探測(cè)功能 Switch(config)# dot1x probe-timer interval 20 - 指定探測(cè)周期為 20 秒 Switch(

48、config)# dot1x probe-timer alive 60 指定探測(cè)存活時(shí)間為 60秒 步驟三： 配置記賬更新功能 Switch(config)# dot1x timeout quiet-period 5 - 指定認(rèn)證失敗等待時(shí)間 Switch(config)# dot1x timeout tx-period 3 - 指定交換機(jī)重傳 Identity Requests 報(bào)文時(shí)間 Switch(config)# dot1x max-req 3 - 指定交換機(jī)重傳 Identity Requests 報(bào)文的最大次數(shù) Switch(config)# dot1x reauth-max 3 - 指定認(rèn)證失敗后交換機(jī)發(fā)起的重認(rèn)證的最大次數(shù) Switch(config)# dot1x