锐捷交换机配置手册完整

硬件安装手册RG-S2900系列交换机文档版本号：V1.24版权声明锐捷网络©2014锐捷网络版权所有，并保留对本手册及本声明的一切权利。

未得到锐捷网络的书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。

、、、、、、、、、、、都是锐捷网络的注册商标，不得仿冒。

免责声明本手册内容依据现有信息制作，由于产品版本升级或其他原因，其内容有可能变更。

锐捷网络保留在没有任何通知或者提示的情况下对手册内容进行修改的权利。

本手册仅作为使用指导，锐捷网络在编写本手册时已尽力保证其内容准确可靠，但并不确保手册内容完全没有错误或遗漏，本手册中的所有信息也不构成任何明示或暗示的担保。

技术支持4008-111-000前言感谢您使用锐捷网络产品，本手册为您提供了详细的硬件安装指南。

使用范围本手册主要介绍了产品在功能上和物理上的一些特性，提供了安装步骤、故障排除、技术规格，以及电缆和连接器的规格和使用准则。

适用于想对上述内容进行了解且在安装和维护网络硬件方面具有一定经验的用户。

同时假定该款产品的用户熟知相关术语和概念。

技术支持⏹锐捷网络官方网站：/⏹锐捷网络在线客服：⏹锐捷网络远程技术支持中心：/service.aspx⏹7×24小时技术服务热线：4008-111-000⏹锐捷网络技术论坛：⏹锐捷网络技术支持与反馈信箱：******************.cn相关资料手册名称说明产品配置手册本手册对产品支持的各网络协议及其实现原理进行了描述，并配有详细的配置实例。

产品命令手册本手册对产品支持的配置命令做了详细的描述。

包括命令模式、参数说明和使用指南等，并配有具体的实例。

产品WEB管理手册本手册对产品支持的各功能的WEB 界面进行描述，并配有详细的配置实例。

文档格式约定本书采用各种醒目标志来表示在操作过程中应该特别注意的地方，这些标志的意义如下：注意、警告、提醒操作中应注意的事项。

配置手册RG-S3760系列双协议栈多层交换机版权声明福建星网锐捷网络有限公司©2009锐捷网络有限公司版权所有，并保留对本手册及本声明的一切权利。

未得到锐捷网络有限公司的书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。

、、、、、、、都是福建星网锐捷网络有限公司的注册商标，不得仿冒。

免责声明本手册依据现有信息制作，其内容如有更改，恕不另行通知，请关注锐捷网络有限公司网站提供的最新信息。

锐捷网络有限公司在编写本手册时已尽力保证其内容准确可靠，但对于本手册中的遗漏、不准确或错误，以及由此导致的损失和损害，锐捷网络有限公司不承担责任。

前言版本说明本手册对应的软件版本为：RGOS®10.3(4b3)版。

读者对象本书适合下列人员阅读z网络工程师z技术推广人员z网络管理员本书约定1. 通用格式约定宋体：正文采用5号宋体。

注意、说明等提示内容前后增加线条与正文隔离。

终端信息显示格式：英文用Courier New，中文用宋体，文字大小5号，表示屏幕输出信息。

信息中夹杂的用户从终端输入的信息，采用加粗字体表示。

2. 命令行格式约定命令行字体采用用Arial，具体相关格式意义如下：粗体：命令行关键字（命令中保持不变必须照输的部分）采用加粗字体表示。

斜体：命令行参数（命令中必须由实际值进行替代的部分）采用斜体表示[ ] ：表示用[ ] 括起来的部分，在命令配置时是可选的。

{ x | y | ... }：表示从两个或多个选项中选取一个。

[ x | y | ... ]：表示从两个或多个选项中选取一个或者不选。

//：由双斜杠开始的行表示为注释行。

3. 各类标志本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方，这些标志的意义如下：a 注意：注意、警告、提醒操作中应注意的事项。

说明：说明、提示、窍门、对操作内容的描述进行必要的补充说明：1)本手册举例说明部分的端口类型同实际可能不符，实际操作中需要按照各产品所支持的端口类型进行配置2)本手册部分举例的显示信息中可能含有其它产品系列的内容（如产品型号、描述等），具体显示信息请以实际使用的设备信息为准。

锐捷S3550配置手册时间：2021.03.07 创作：欧阳德第一部分：交换机概述一：交换机的几种配置方法本部分包括以下内容：本部分内容适用于交换机、路由器等网络设备。

控制台用一台计算机作为控制台和网络设备相连，通过计算机对网络设备进行配置。

1、硬件连接：把Console线一端连接在计算机的串行口上，另一端连接在网络设备的Console口上。

Console线在购置网络设备时会提供，它是一条反转线，你也可以自己用双绞线进行制作。

按照上面的线序制作一根双绞线，一端通过一个转接头连接在计算机的串行口上，另一端连接在网络设备的Console口上。

注意：不要把反转线连接在网络设备的其他接口上，这有可能导致设备损坏。

2、软件安装：在计算机上需要安装一个终端仿真软件来登录网络设备。

通常我们使用Windows自带的“超级终端”。

超级终端的安装方法：开始 | 程序 | 附件 | 通信 | 超级终端。

按照提示的步骤进行安装，其中连接的接口应选择“COM1”，端口的速率应选择“9600”，数据流控制应选择“无”，其它都使用默认值。

登录后，就可以对网络设备进行配置了。

说明：超级终端只需安装一次，下次再使用时可从“开始 | 程序 | 附件 | 通信 | 超级终端”中找到上次安装的超级终端，直接使用即可。

远程登录通过一台连接在网络中的计算机，用Telnet命令登录网络设备进行配置。

远程登录条件：1、网络设备已经配置了IP地址、远程登录密码和特权密码。

2、网络设备已经连入网络工作。

3、计算机也连入网络，并且可以和网络设备通信。

说明：远程登录的计算机不是连接在网络设备Console口上的计算机，而是网络中任一台计算机。

远程登录方法：在计算机的命令行中，输入命令“telnet 网络设备IP地址”，输入登录密码就可以进入网络设备的命令配置模式。

说明：远程登录方式不能用来配置新设备，新设备应该用控制台配置IP地址等参数，以后才能使用远程登录进行配置。

锐捷RGNOS CookBook v1.0锐第一章：设备配置和文件管理-----------------------------------------------------------------------------31.1 通过TELNET方式来配置设备-------------------------------------------------------------------31.2 更改IOS命令的特权等级-------------------------------------------------------------------------4 第二章：交换机VLAN配置---------------------------------------------------------------------------------42.1 交换机vlan和trunk的配置-------------------------------------------------------------------------42.2 turnk接口修剪配置----------------------------------------------------------------------------------62.3 PVLAN配置------------------------------------------------------------------------------------------6 第三章：交换机防止ARP欺骗配置-----------------------------------------------------------------------83.1 交换机地址绑定（address-bind）功能---------------------------------------------------------83.2 交换机端口安全功能------------------------------------------------------------------------------83.3 交换机arp-check功能------------------------------------------------------------------------------93.4 交换机ARP动态检测功能(DAI)----------------------------------------------------------------10 第四章：访问控制列表配置（ACL）-------------------------------------------------------------------114.1 标准ACL配置--------------------------------------------------------------------------------------114.2 扩展ACL配置--------------------------------------------------------------------------------------114.3 VLAN之间的ACL配置----------------------------------------------------------------------------124.4 单向ACL的配置-----------------------------------------------------------------------------------14 第五章：应用协议配置-------------------------------------------------------------------------------------155.1 DHCP服务配置-------------------------------------------------------------------------------------155.2 交换机dot1x认证配置----------------------------------------------------------------------------175.3 QOS限速配置---------------------------------------------------------------------------------------18 第六章：路由协议配置-------------------------------------------------------------------------------------206.1 默认路由配置--------------------------------------------------------------------------------------206.2 静态路由配置--------------------------------------------------------------------------------------206.3 浮动路由配置--------------------------------------------------------------------------------------206.4 策略路由配置--------------------------------------------------------------------------------------216.4 OSPF配置--------------------------------------------------------------------------------------------226.4 OSPF中router ID配置------------------------------------------------------------------------------22第一章：设备配置和文件管理———————————————1.1 通过TELNET方式来配置设备提问：如何通过telnet方式来配置设备？回答：步骤一：配置VLAN1的IP地址S5750>en ----进入特权模式S5750#conf ----进入全局配置模式S5750(config)#int vlan 1 ----进入vlan 1接口S5750(config-if)#ip address 192.168.0.230 255.255.255.0----为vlan 1接口上设置管理ip S5750(config-if)#exit ----退回到全局配置模式步骤二：配置telnet密码S5750(config)#line vty 0 4 ----进入telnet密码配置模式S5750(config-line)#login ---启用需输入密码才能telnet成功S5750(config-line)#password rscstar ----将telnet密码设置为rscstar S5750(config-line)#exit ----回到全局配置模式S5750(config)#enable secret 0 rscstar----配置进入特权模式的密码为rscstar步骤三：开启SSH服务（可选操作）S5750(config)#enable service ssh-server ---开启ssh服务S5750(config)#ip ssh version 2 ----启用ssh version 2 S5750(config)#exit ----回到特权模式S5750#wri ----保存配置———————————————1.2 更改IOS命令的特权等级提问：如何只允许dixy这个用户使用与ARP相关的命令？回答：S5750(config)#username dixy password dixy ----设置dixy用户名和密码S5750(config)#username dixy privilege 10 ----dixy帐户的权限为10 S5750(config)#privilege exec level 10 show arp----权限10可以使用show arp命令S5750(config)#privilege config all level 10 arp----权限10可以使用所有arp打头的命令S5750(config)#line vty 0 4 ----配置telnet登陆用户S5750(config-line)#no passwordS5750(config-line)#login local注释：15级密码为enable特权密码，无法更改，0级密码只能支持disable，enable，exit和help，1级密码无法进行配置。

锐捷交换机配置命令交换机基本操作：1.进入特权模式Switch>enableSwitch#2.返回用户模式Switch#exitPress RETURN to get started!Switch>配置模式：全局配置模式[主机名(config)#]:配置交换机的整体参数子模式:1.线路配置模式[主机名(config-line)#]:配置交换机的线路参数2.接口配置模式[主机名(config-if)#]:配置交换机的接口参数1.进入、退出全局配置模式Switch#configure terminalSwitch(config)#exitSwitch#2.进入、退出线路配置模式Switch(config)#line console 0Switch(config-line)#exitSwitch(config)#3.进入、退出接口配置模式Switch(config)#interface fastEthernet 0/1Switch(config-if)#exitSwitch(config)#从子模式下直接返回特权模式Switch(config-if)#endSwitch#交换机操作帮助：1.支持命令简写(按TAB键将命令补充完整)2.在每种操作模式下直接输入“?”显示该模式下所有的命令3.命令空格“?”显示命令参数并对其解释说明4. “字符?”显示以该字符开头的命令5.命令历史缓存: (Ctrl+P)显示上一条命令,(Ctrl+N)显示下一条命令6.错误提示信息交换机显示命令：显示交换机硬件及软件的信息 Switch#show version显示当前运行的配置参数 Switch#show running-config显示保存的配置参数 Switch#show configure常用交换机EXEC命令：1.将当前运行的配置参数复制到flash：Switch#write memoryBuilding configuration...[OK]Switch#2.清空flash中的配置参数：Switch#delete flash:config.textSwitch#3.交换机重新启动：Switch#reloadSystem configuration has been modified. Save? [yes/no]:nProceed with reload? [confirm]4.配置交换机主机名：Switch(config)#hostname S2126G-1S2126G-1(config)#5.配置交换机口令：1) 配置交换机的登陆密码S2126G(config)#enable secret level 1 0 star“0”表示输入的是明文形式的口令2) 配置交换机的特权密码S2126G(config)#enable secret level 15 0 star“0”表示输入的是明文形式的口令常用交换机配置命令：1、为交换机分配管理IP地址S2126G(config)#interface vlan 1S2126G(config-if)#ip address {IP address} {IP subnetmask}[secondary] 2、将接口启用S2126G(config-if)#no shutdown3、将接口关闭S2126G(config-if)#shutdown4、配置接口速率S2126G(config-if)#speed [10|100|auto]5、配置接口双工模式S2126G(config-if)#duplex [auto|full|half]显示接口状态：S2126G#show interface测定目的端的可达性：S2126G>ping {IP address}从TFTP服务器下载配置参数：S2126G#copy tftp startup-config管理交换机MAC地址表：1、查看MAC地址表S2126G#show mac-address-table2、配置MAC地址表记录的生存时间(缺省为300秒)S2126G(config)#mac-address-table aging-time <10-1000000>3、查看MAC地址表记录的生存时间S2126G#show mac-address-table aging-timeVLAN的配置：1.添加一个VLANS2126G(config)#vlan <1-4094>S2126G(config-vlan)#2.为VLAN命名S2126G(config-vlan)#name 名字将交换机端口分配到VLAN1.配置Port VLANSwitch(config-if)#switchport access vlan <1-4094>2.配置Tag VLANSwitch(config-if)#switchport mode trunk1）配置本地(native)VLANSwitch(config-if)#switchport trunk native vlan <1-4094>Native VLAN即PVID，默认情况下每个trunk口的native VLAN 是12）从主干链路中清除VLANSwitch(config-if)#switchport trunk allowed vlan except vlan-list 注:VLAN1不可被清除3）在主干链路中允许所有VLANSwitch(config-if)#switchport trunk allowed vlan all4）向主干链路中加入VLANSwitch(config-if)#switchport trunk allowed vlan add vlan-listVLAN的验证：1.显示全部的VLAN：Switch#show vlan2.显示单独的VLAN ：Switch#show vlan id <1-4094>将VLAN信息保存到flash中：Switch#write memory从flash中清除VLAN信息：Switch#delete flash:vlan.datRSTP的配置：1.启用生成树：S2126G(config)#spanning-tree2.配置交换机优先级：S2126G(config)#spanning-tree priority <0-61440>“0”或“4096”的倍数(RSTP BPDU该值后12bit全0)3.配置交换机端口优先级：S2126G(config-if)#spanning-tree port-priority <0-240>“0”或“16”的倍数(RSTP BPDU该值后4bit全0)4、生成树hello时间的配置(由Root决定)：S2126G(config)#spanning-tree hello-time <1-10>5、生成树的验证：Switch#show spanning-treeSwitch#show spanning-tree interface <接口名称> <接口编号>聚合端口的创建：Switch(config)# interface aggregateport 1 创建聚合接口AG1Switch(config-if)# switchport mode trunk 配置并保证AG1为 trunk 模式Switch(config)#int range f0/23-24Switch(config-if-range)#port-group 1 将端口（端口组）划入聚合端口AG1中生成树：Switch(config)#spanning-tree 开启生成树协议Switch(config)#spanning-tree mode stp 指定生成树类型为stp可选模式stp , rstp , mstpSwitch(config)#spanning-tree priority 4096 设置交换机的优先级为4096 , 优先级值小为高。

非常详细的锐捷三层交换机配置教程，适合新手小白笔者上一篇文章写了关于锐捷网关路由配置教程，但是这只是出口的配置，还不能搭建一个完整的企业网络。

那么这一篇就来讲一下锐捷的三层交换机配置，如果将上一篇文章中的锐捷网关路由配置结合这篇的交换机配置，就可以快速构建一个企业核心网络。

今天的教程是基于命令行，但是并不复杂，适合新手小白进行学习。

场景概述目的：搭建一个小型的企业内部网络，使用RG-NBR3000D-E作为出口网关，使用RG-S5750C-28GT4XS-H作为核心，使用RG-S2910-10GT2SFP-P-E作为接入POE给无线AP供电使用。

IT技术迷-网络拓扑图什么是三层交换机？三层交换机实质就是一种特殊的路由器，是一种在性能上侧重于交换而价格低廉的路由器。

传统交换技术是在OSI网络标准模型第二层——数据链路层进行操作，而三层交换机是为IP设计的，接口类型简单，拥有很强二层包处理能力，它既可以工作在协议第三层替代或部分完成传统路由器的功能，同时又具有几乎第二层交换的速度，且价格相对便宜。

三层交换机最重要的目的是加快大型局域网内部的数据交换，做到一次路由，多次转发。

当一个大型局域网按照功能或地域等因素划成一个个小局域网时，VLAN（Virtual LocalArea Network虚拟局域网）技术在网络中得以大量应用，而各个不同VLAN间的通信都要经过路由器来完成转发。

单纯使用路由器来实现不仅端口数量有限，而且路由速度较慢，从而限制了网络的规模和访问速度。

三层交换机参数RG-S5750C-28GT4XS-H固定端口： 28口10/100/1000M自适应电口，4个复用的SFP接口（SFP为千兆/百兆口）4个1G/10G SFP+光口，2个扩展槽， 2个模块化电源插槽管理口：1个MGMT端口、1个Console 端口、1个Mini USB Console口、1个USB端口，符合USB2.0的标准交换容量：598G/7T包转发率：222M/396M准备工作配置前准备：console配置线、超级终端软件（或者CRT软件）。

配置指南-安全本分册介绍安全配置指南相关内容，包括以下章节：1. AAA2. RADIUS3. TACACS+4. 802.1x5. Web认证6. SCC7. 全局IP+MAC绑定8. PASSWORD-POLICY9. 端口安全10. STORM CONTROL11. SSH12. URPF13. CPP14. DHCP Snooping15. DHCPv6 Snooping16. ND Snooping17. ARP Check18. DAI19. IP Source Guard20. IPv6 Source Guard21. SAVI22. 防网关ARP欺骗23. NFPP24. DoS保护25. Snooping跨设备同步1 AAA1.1 概述AAA是Authentication Authorization and Accounting（认证、授权和记账）的简称，它提供了对认证、授权和记账功能进行配置的一致性框架，锐捷网络设备产品支持使用AAA。

AAA以模块方式提供以下服务：认证：验证用户是否可获得访问权，可选择使用RADIUS协议、TACACS+协议或Local（本地）等。

身份认证是在允许用户访问网络和网络服务之前对其身份进行识别的一种方法。

授权：授权用户可使用哪些服务。

AAA授权通过定义一系列的属性对来实现，这些属性对描述了用户被授权执行的操作。

这些属性对可以存放在网络设备上，也可以远程存放在安全服务器上。

记账：记录用户使用网络资源的情况。

当AAA记账被启用时，网络设备便开始以统计记录的方式向安全服务器发送用户使用网络资源的情况。

每个记账记录都是以属性对的方式组成，并存放在安全服务器上，这些记录可以通过专门软件进行读取分析，从而实现对用户使用网络资源的情况进行记账、统计、跟踪。

尽管AAA是最主要的访问控制方法，锐捷产品同时也提供了在AAA范围之外的简单控制访问，如本地用户名身份认证、线路密码身份认证等。