锐捷交换机,路由器,无线,ESS,EG所有操作配置命令合集

这篇具有很好参考价值的文章主要介绍了锐捷交换机,路由器,无线,ESS,EG所有操作配置命令合集。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

注意事项:

接口注释description Con_To_XX

记得/30的直连物理路由端口写ip ospf network point-to-point

常识命令:

Ruijie(config-GigabitEthernet 0/0)#media-type basex force --->将接口切成 光模式

Ruijie(config-GigabitEthernet 0/0)#media-type baset  --->将接口从光口切换电口模式(接口默认属于该模式,show run该命令不显示)

show ip f f   (ip连接表)可以nat时使用

show log 查看设备日志

show ip interface brief    查看端口信息

show ipv6 interface brief

no service password-encryption 显示show run的密码为明文(这条命令之后才行)

line console 0  保持终端不掉线

 exec-timeout 0 0

升级:

  1. 将接入交换机S5做密码恢复,新的密码设置为ruijie

1.  ctrl+c

ctrl+q

main_config_password_clear

2.   Ctrl+C 提示时在键盘上同时按下CTRL键和C键,进入bootloader菜单

ubootui   回车后马上按一次ctrl + p

setenv runlevel 2

run linux

cd /data/

ls

mv config.text config_backup.text

sync

reboot

  1. 接入交换机S5进行版本更新,更新版本至RGOS11.4(1)B12;

设置好tftp和ip地址,英文路径

copy tftp://192.168.1.1(pc机地址)/123.bin(更新使用的系统)  flash:rgos.bin

upgrade  flash:N18000_11.0.bin

reload

  1. 各区县学校AP3进行版本更新,更新版本至RGOS11.1(5)B9P11

  10.x升级11.x的中间版本 中间是空格

Ruijie#copy tftp://192.168.1.100/AP_RGOS11.1(2)B1_AP320_v1.0_upgrade.bin flash:rgos.bin

Ruijie#reload --->重启设备完成升级

11.x升级11.x系统

Ruijie#upgrade download tftp://192.168.1.100/AP_RGOS11.1(2)B1_AP320_v1.0_upgrade.bin

Ruijie#reload --->重启设备完成升级

但是只能用web升级,没有空间

网络设备安全技术ssh-telnet-snmp:

  1. 为交换机和无线控制器开启SSH服务端功能,用户名和密码为admin,密码为明文类型,特权密码为admin。

特权密码enable secret admin

别忘了vlan1配置ip
Ruijie(config)#enable service ssh-server   
Ruijie(config)#ip ssh version 2           

Ruijie(config)#username ruijie password ruijie

Ruijie(config)#crypto key generate dsa/rsa    再选择默认加密位数512
Ruijie(config)#lin vty 0 4
Ruijie(config-line)# login   local
Ruijie(config-line)#transport input ssh     ------>设置传输模式是SSH,设置远程登入只允许使用SSH登入,不能使用telnet登入

三、验证命令
Ruijie#show ip ssh
  

  1. 为路由器和出口网关开启Telnet功能,对所有Telnet用户采用本地认证的方式。创建本地用户,设定用户名和密码为admin,密码为明文类型,特权密码为admin。

Ruijie(config)#username ruijie password 0 ruijie      

Ruijie(config)#line vty 0 4            

Ruijie(config-line)#login local        ------> 配置本地认证

Ruijie(config-line)#exit                 

Ruijie(config)# enable secret  ruijie 

密码模式

enable password ruijie

line vty 0 4

             login

             password ruijie

  1. 配置所有设备SNMP消息,向主机172.16.0.254发送Trap消息版本采用V2C,读写的Community为“ruijie”,只读的Community为“public”,开启Trap消息

snmp-server enable traps  使能交换机主动发送Trap消息

snmp-server community ruijie rw   读写

snmp-server community public ro   只读

snmp-server host 172.16.0.254 traps version 2c ruijie

snmp-server host 172.16.0.254 traps version 2c public

网络搭建方案部署:

  1. 虚拟局域网及IPv4地址部署
  1. 配置合理,Trunk链路上不允许不必要VLAN的数据流通过;

switchport trunk  allowed vlan remove 2-8,10-4094只允许1和9通过

switchport trunk allowed vlan add 2-5,12-15  允许通过的

switchport trunk allowed vlan only 10,20 只允许的

switchport trunk native vlan 4000 本征改为4000,应该用不到,无线需要vlan1

  1. 为隔离部分终端用户间的二层互访,在交换机S5的Gi0/1-Gi0/10端口启用端口保护。

Ruijie(config)#interface range fastEthernet 0/1-2                      ------>同时进入1口和2口接口配置模式

Ruijie(config-FastEthernet 0/1)#switchport protected 配置成保护端口

  1. 局域网环路规避方案部署
  1. 终端接口开启BPDU防护不能接收 BPDU报文;

 接口开启BPDU防护

spanning-tree portfast

spanning-tree bpduguard enable

  1. 终端接口下开启 RLDP防止环路,检测到环路后处理方式为 Shutdown-Port;

(config)#rldp enable

int g 0/X

rldp port loop-detect shutdown-port

  1. 连接PC终端的所有端口配置为边缘端口;

 (portfast端口也会继续发送bpdu报文)

 int g 0/X

spanning-tree portfast

  1. 如果端口被 BPDU Guard检测进入 Err-Disabled状态,再过 300 秒后会自动恢复(基于接口部署策略),重新检测是否有环路;

rldp enable  

interface range g0/1-24   不要在接入交换机的上联口开启该功能

rldp port loop-detect shutdown-port

Rujijie(config)#errdisable recovery interval 300    ------>如果端口被RLDP检测并shutdown再过300秒后会自动恢复重新检测是否有环路  也可以端口设置

  1. DHCP中继与服务安全部署

在交换机S3、S4上配置DHCP中继,对VLAN10内的用户进行中继,使得PC1用户使用DHCP Relay方式获取IP地址。具体要求如下:

show ip dhcp binding  查看dhcp分配表

show ip dhcp snooping 

  1. DHCP服务器搭建于EG1上,地址池命名为Pool_VLAN10,DHCP对外服务使用loopback 0地址;

    Ruijie(config)#service dhcp

     Ruijie(config)#ip dhcp excluded-address 192.168.1.200 192.168.1.254  

         Ruijie(config)#ip dhcp pool eg_

         lease 0 2 0  ---010的单位分别是天、时、分地址释放时间默认为24小时。

         network 192.168.1.0 255.255.255.0 

         dns-server 218.85.157.99  8.8.8.8    

      default-router 192.168.1.1 

中继  

        Ruijie(config)#service dhcp

        int vlan 10或者int s0/1.10,也可以全局

        Ruijie(config)#ip helper-address 172.16.1.2(loopback的接口地址)也可以是接口地址

  1. 为了防御动态环境局域网伪DHCP服务欺骗,在S1交换机部署DHCP Snooping功能;

Ruijie(config)#ip dhcp snooping  开启全局DHCP snooping功能

Ruijie(config-GigabitEthernet 0/49)#ip dhcp snooping trust    开启DHCP snooping的交换机所有接口缺省为untrust口,交换机只转发从trust口收到的DHCP响应报文(offer、ACK)

  1. S为了防御局域网伪造DHCP服务器与ARP欺骗,在S1、S2交换机部署DHCP Snooping+DAI功能,DAI针对VLAN10与VLAN20启用ARP防御;

    配置交换机的防ARP欺骗功能具体也可以参见DHCP环境防ARP欺骗章节中DHCP Snooping+DAI方案。

Ruijie(config)#ip arp inspection vlan 10  全局开启就是对vlan1实施

Ruijie(config)#ip dhcp snooping

Ruijie(config)#interface gigabitEthernet 0/25

Ruijie(config-if-GigabitEthernet 0/25)#switchport mode trunk

Ruijie(config-if-GigabitEthernet 0/25)#ip dhcp snooping trust

Ruijie(config-if-GigabitEthernet 0/25)#ip arp inspection trust

Ruijie(config)#interface range fastEthernet 0/1-24

Ruijie(config-if-range)#switchport access vlan 10

  1. 使用 IP source Guard+ARP-check 组合方案解决该安全问题

接入交换机部署 DHCP snooping+IP source Guard+ARP-check 防 ARP 欺骗方案 JR(config)#ip dhcp snooping

JR(config)#int g0/24

JR(config-if-GigabitEthernet 0/24)#ip dhcp snooping trust

注意:全局开启 DHCP snooping 后,要将上联口设置为信任口,保证真实 网关数据流正常通过。

JR(config)#int g0/2

JR(config-if-GigabitEthernet 0/2)#ip verify source port-security

JR(config-if-GigabitEthernet 0/2)#arp-check

  1. 2调整CPU保护机制中ARP阈值500pps;

 cpu-protect type arp bandwidth 500

       默认交换机的NFPP功能是开启的,二层交换机参数无需调整,只需将上联口NFPP关闭,同时由于开启了DAI的原因,需要调整放大CPP。如果没有使用DAI,CPP也无需调整。

cpu保护机制阈值为500pps

  1. 为了防止伪 IP 源地址攻击,导致出口路由器会话占满,要求S1交换机部署端口安全,接口Gi0/5只允许PC3通过。

 Ruijie(config-if-FastEthernet 0/1)#switchport port-security  开启端口安全功能

Ruijie(config-if-FastEthernet 0/1)#switchport port-security mac-address 0021.CCCF.6F70

switchport port-security binding 0021.CCCF.6F70 vlan 10 192.168.1.1   ------>把属于vlan10 mac地址是0021.CCCF.6F70 ,ip地址192.168.1.1PC绑定在交换机的第一个百兆接口上

switchport port-security binding 192.168.1.2

protect 端口不转发数据,丢弃非法流量,不报警

restrict 端口不转发数据,丢弃非法流量,报警

shutdown 关闭端口

就是说当前端口检测到violation,就按照你说的这3种模式处理。

  1. 为了防止大量网关发送的正常的相关报文被接入交换机误认为是攻击被丢弃,从而导致下联用户无法获取网关的ARP信息而无法上网,要求关闭S1、S2上联口的NFPP功能的ARP检测;

  为了防止大量网关发送的正常的相关报文(特别是网关发送的ARP请求或回应报文)被接入交换机误认为是攻击被丢弃,从而导致下联用户无法获取网关的ARP信息而无法上网,需要将上联口的NFPP功能关闭

Ruijie(config)#int g0/25

Ruijie(config-if-GigabitEthernet 0/25)#no nfpp arp-guard enable   ------>关闭接口的ARP-guard功能关闭该功能后该接口进入的数据报文不进行NFPP检测

还有的数据包类型dhcp-guard  dhcpv6-guard  icmp-guard  ip-guard  nd-guard

要求关闭S1/S2上联口的NFPP功能。那就全关一遍,猜的

  1. 全局设置NFPP日志缓存容量为1024,打印相同log的阈值为300s;

   Ruijie(config)#nfpp

  Ruijie(config-nfpp)#log-buffer entries 1024    ------>设置NFPP log缓存的容量为1024默认256

Ruijie(config-nfpp)#log-buffer logs 1 interval 300    ------>调整log打印频率为300S打印1

如果arp检测没关,出个奇怪的题

Ruijie(config-nfpp)#arp-guard  attack-threshold   per-port 800       ------>设置每个端口的攻击阀值为800超过此值丢弃并打印攻击日志

Ruijie(config-nfpp)#arp-guard  rate-limit per-port 500      ------>每个端口每秒限速500arp报文多余的ARP报文将被丢弃默认限速阀值是100个偏小

MSTP及VRRP部署:

相连的下层交换机要开启spanning-tree

MSTP:

spanning-tree

spanning-tree mst configuration

 revision 1

 name ruijie

 instance 1 vlan 10, 20

 instance 2 vlan 50, 60, 100

!

spanning-tree mst 1 priority 4096  主

spanning-tree mst 2 priority 8192  备

VRRP:

int vlan 10

vrrp 10 ip 193.16.10.254  编号10加ip

vrrp 10 priority 150   高优先级

ipv6 enable

  vrrp 10 ipv6 FE80::4  本地链路

  vrrp 10 ipv6 1001:193:10::254   ipv6虚拟地址

  ipv6 address 1001:193:10::253/64  ipv6地址

vrrp ipv6 10 priority 150

  1. S3、S4连接接入交换机S1、S2的接口启用TC-IGNORE功能,规避接入设备频繁的网络震荡;

int g0/1

spanning-tree ignore tc

  1.  为提升冗余性,交换机S3与S4之间的2条互联链路(Gi0/22、Gi0/23)配置二层链路聚合,采取LACP动态聚合模式

   SW1(config)#interface range gigabitEthernet 0/1-3        ------>同时进入到g0/1-3口配置模式      

SW1(config-if-range)#port-group 1 mode active          ------>设置为AG1口,并且模式为active      

SW1(config)#interface aggregateport 1       ------>进入AG1口配置模式  

SW1(config-if-AggregatePort 1)#switchport mode trunk    ------>将AG1口配置为trunk口  

SW1(config)#aggregateport load-balance src-dst-ip      ------>更改流量平衡算法为源目ip模式,默认为源MAC+目的MAC模式  不是必须做的

show lacp summary  查看lacp情况

给聚合口配置ip

先给多个端口都转为3层接口,再添加配置ip

int ran g 0/47-48

no shutdown

no switchport

port-group 1

exit

int aggregatePort 1

ip add 192.168.1.1 255.255.255.252

exit

虚拟化:

S6主S7备

S6:

S6(config)#sw vir do 1

S6(config-vs-domain)#switch 1

S6(config-vs-domain)#sw 1 priority 150

S6(config-vs-domain)#sw 1 description S6000-1

S6(config-vs-domain)#exit

S6(config)#vsl-port

S6(config-vsl-port)#port-member interface tenGigabitEthernet 0/49

% Port TenGigabitEthernet 1/0/49 has already being vsl port.

S6(config-vsl-port)#port-member interface tenGigabitEthernet 0/50

% Port TenGigabitEthernet 1/0/50 has already being vsl port.

S6#write

S6#switch convert mode virtual   ------>将交换机转换为VSU模式

S7:

S7(config)#sw virtual do 1

S7(config-vs-domain)#sw 2

S7(config-vs-domain)#sw 2 p 120

S7(config-vs-domain)#sw 2 description S6000-2

S7(config-vs-domain)#exit

S7(config)#vsl-port

S7(config-vsl-port)#port-member in tenGigabitEthernet 0/49 

% Port TenGigabitEthernet 1/0/49 has already being vsl port.

S7(config-vsl-port)#port-member in tenGigabitEthernet 0/50 

% Port TenGigabitEthernet 1/0/50 has already being vsl port.

S7(config-vsl-port)#exit

S7(config)#end

S7#wr

S7#switch convert mode virtual

bfd:

记得端口no sw

interface GigabitEthernet 1/0/47

no switchport

interface GigabitEthernet 2/0/47

no switchport

switch virtual domain 1

 dual-active detection bfd

 dual-active bfd interface GigabitEthernet 1/0/47

 dual-active bfd interface GigabitEthernet 2/0/47

串口Serial:

进入接口,将接口封装为PPP帧模式;

注意,两端封装模式必须一致,同为PPP或同为HDLC。

RSR-A(config)#interface Serial 3/1/0    

RSR-A (config-if - Serial 3/1/0)# encapsulation PPP  //封装为PPP

RSR-B(config)#interface Serial 3/1/0    

RSR-B (config-if - Serial 3/1/0)# encapsulation PPP  //封装为PPP

PPP封装的接口,两端地址可以不在同一个网段;在L2TP/PPTP等VPN应用中,两端地址可能就不在一个网段;在实际的点到点广域网链路中,一般会配置为一个网段;

配置CHAP认证  或者 配置 PAP认证    (可选); 单向认证

1)PPP认证可以加强线路的安全性,是否启用认证不影响通信;是否启用可根据实际部署选择

2)一般,一条PPP链路的认证,只要一端为认证服务端,一段为认证客户端;一般不需进行双向认证

3)下面例子中,以RSR-A为认证服务端,RSR-B为认证客户端

CHAP认证配置:

认证服务端配置:

RSR-A (config-if - Serial 3/1/0)# ppp authentication chap   //启用链路chap认证

RSR-A(config)#username ruijie password 123   //创建帐号用于客户端chap认证拨入也可以通过AAA来进行帐号管理,AAA的配置参考AAA章节参考典型配置--->安全--->AAA

认证客户端配置

RSR-B (config-if - Serial 3/1/0)#ppp chap hostname ruijie   //CHAP认证用户名

RSR-B (config-if - Serial 3/1/0)# ppp chap password 123    //CHAP认证密码

用户名密码需要和对端设备的本地或AAA帐号一致;注意,后面不要敲空格。

PAP认证配置:

认证服务端配置:

RSR-A (config-if - Serial 3/1/0)# ppp authentication PAP   //启用链路PAP认证

RSR-A(config)#username ruijie password 123   //创建帐号用于客户端chap认证拨入也可以通过AAA来进行帐号管理,AAA的配置参考”AAA“章节参考典型配置--->安全--->AAA

认证客户端配置

RSR-B (config-if - Serial 3/1/0)#ppp pap sent-username ruijie password 0 123   //PAP认证用户名密码

用户名密码需要和对端设备的本地或AAA帐号一致注意后面不要敲空格。

链路捆绑:

注意,只有PPP封装才能捆绑

RSR-A (config-if - Serial 3/1/0:0)#ppp multilink        //启用 multilink功能

RSR-A (config-if - Serial 3/1/0:0)#ppp multilink group 1    // 捆绑上 multilink 1

RSR-A(config)#interface multilink 1       //创建multilink

RSR-A(config-if-multilink 1)# ip address 1.1.1.1 255.255.255.0

路由:

ospf默认路由:

clear ip ospf 200 process 清理ospf路由,刷新路由表

clear ip route process   清理所有路由表

show ip protocols 查看ospf路由器的路由器ID

  1. 区教育局出口路由器R1上不允许配置默认路由,但需要让区教育局所有设备都学习到指向R1的默认路由;

  出口位置设备向OSPF普通区域下发默认路由:重分发默认路由

R2(config)#router ospf 1

             R2(config-router)#default-information originate always        //加上always参数后无论设备本地存在生效的默认路由,设备都会向OSPF区域下发默认路由。 如果没有加always参数,那么只有在该路由器上有有效的默认路由时设备才会向OSPF区域内下发默认路由。

这个命令和redistribute static 差不多,一个是只向同路由协议发布缺省路由,一个是重发布所有静态路由

有的重发布静态路由只接受B类和A类的地址路由,只有这两种才发布出去(重点)

有的B类和A类的地址静态路由重发布才能发到其他主机路由中,默认路由不行

ospf中重发布添加了subnets路由细分就全分类可以传播到邻居,其他目前不知道

区别:

1.default-information originate 必须要在本地配置默认路由,然后广播到OSPF区域。标记O*E2.

default-information originate always不需要在本地配置默认路由,也可以广播到OSPF区域。

2.如果没有配置always,并且默认路由是抖动的,那么OSPF需要在每次默认路由抖动时,向OSPF区域发送更新。

如果使用always,则减少对OSPF数据库的操作,保持OSPF数据路的稳定。

分类:

redistribute static subnets 就是把相关的子网也导入进去比如static中有10.10.10.0 10.10.11.0路由,如果向外使用聚合10.10.0.0的话如果是redistribute static就是导入10.10.0.0 的路由,如果用了redistribute static subnets就是导入该两个具体的子网

BGP默认路由:

BGP 产生默认路由的方式_weixin_33836874的博客-CSDN博客

1写默认路由并通告

ip route 0.0.0.0 0.0.0.0 null 0  //随便做了一次没成功

写一条默认路由,指向空接口,并将其通告至BGP中,这样该路由器会将该默认路由通告给他的所有BGP邻居;

R4中配置静态路由,并将其通告至BGP中,然后查看路由表情况;

R4(config)#ip route 0.0.0.0 0.0.0.0 null 0

R4(config)#router bgp 100

R4(config-router)#network 0.0.0.0 mask 0.0.0.0 //通告默认路由

2neighbor X.X.X.X default-originate 

给邻居通告默认路由,在指定邻居路由器会收到一条默认路由,没有指定的,不会收到默认路由,在R4上配置给R5通告默认路由:

R4(config)#router bgp 100  //这个行

R4(config-router)#neighbor 45.1.1.2 default-originate

3、 default-information originate

对所有邻居都通告默认路由,但这种方式有一点特殊,下面通过配置分析来解释;

首先我们在R4上配置default-information originate命令后:没有always字符

R4(config)#router bgp 100   //随便做了一次没成功

R4(config-router)#default-information originate

R4(config-router)#redistribute static
R4(config)#ip route 0.0.0.0 0.0.0.0 null 0

结论:在重分布静态路由至BGP中时,并不会重分布默认路由。

      

总结:在BGP中配置default-information originate时,必须先创建一条静态的默认路由,并且重分布静态至BGP中,才会产生默认路由,并通告给其它的BGP邻居。

重分发:

比如rip路由要注入到ospf,那么就在ospf写重分发

任何协议重分发进BGP的metric不变,当做MED使用。

任何协议重分发进OSPF,metre默认是20,类型5,OE2。

任何协议重分发进RIP,默认跳数无穷大,如果不指定metre,重分发不进去。

rip

R1(config)#router rip

R1(config-router)#redistribute static metric 1      //把静态路由重分发rip并配置metric 1 rip引入的外部路由必须指定metric默认的metric为无穷大引入的外部路由无效

ospf

R1(config)#router ospf 1

R1(config-router)#redistribute static metric-type 1/2 subnets

(指的是子网路由细分,不然就是汇总大路由)

a、类型1,路由在ospf域内传输时叠加内部cost,若内部网络需要对该外部路由选路时,建议使用类型1(默认引入的外部路由为类型2)

b、类型2,路由在ospf域内传输时不叠加内部cost

bgp

规则一:

当其他路由被重分发进bgp时,不指定度量值(redistribute ospf *),如果度量值没有被指定,那么经过重分发的路由所分配的度量值为0.这是一个默认行为.但是如果IGP在重分发以前就有metric了,那么重分布以后是0+以前的metric

规则二:

将另外一种路由协议充分发进bgp时,指定度量值(redistribute ospf  x metric N),重分布以后是N.

R2使用redistribute ospf 100 metric 20

规则三:

使用default-metric [metric]命令,为重分发的路由(使用redistribute命令重发布,并没有指定度量值的时候),分配度量值或者MED [metric]

说明:default-metric [metric]不覆盖redistribute ospf x metric N 的值。

ospf重分发进其他协议时,默认情况下只会重分发O 和OIA的路由,不会重分发OE1和OE2的

如需修改:router bgp 200

         redistribute ospf 100 match external 1 external 2 internal

正常重发布就行:但是bgp太多了,写不全

bgp redistribute-internal 允许IGP重分发进BGP,锐捷写完不显示

no synchronization 关闭同步,什么是BGP同步见知识点文档,锐捷写完也不显示。

redistribute ospf 30

redistribute static

eigrp

默认:

redistribute ospf 1  metric 10000 100 255 1 1500

重分布技术类型:

1.单点重分布

只使用一个边界路由器,在两个路由域之间进行重分布。

       单点单向重分布:

              只将一个路由协议获知的网络,重分布到另一个路由协议中。

       单点双向重分布:

              在两个路由进程之间,在双方向上重分布路由。

单点上的单向或双向重分布总是安全的,因为单点重分布表示从一个路由协议到另一个协议的唯一出入口。不会在无意间产生路由环路。

2.多点重分布

       使用二至多台边界路由器,在两个路由域之间重分布

       多点单向重分布:

              使用二至多台边界路由器,将一个路由协议获知的网络重分布到另一个路由协议中。

       多点多向重分布:

              也称为互相重分布,使用二至多台边界路由器,在双方向上重分布路由。

多点重分布可能引入潜在的路由环路。多点单向重分布存在一些问题,而多点双向重分布则非常危险。多点重分布通常涉及协议管理距离的差别,以及不兼容的度量参数,尤其是在重分布点上静态指定种子度量时。

其中会导致:

              次优路由

              路由丢失时产生路由环路

所以要控制流量更新!!!

流量更新控制:

路由过滤方式:

        1. 分发列表:可以把ACL(访问控制列表)应用到路由更新上。
        2. 前缀列表:是另一种用来过滤路由的方式。它可以与分发列表、route-map和其他命令一起使用。
        3. route-map:是复杂的访问列表,允许对数据包或路由进行条件测试,然后修改数据包或路由属性。

1.分发列表:

distribute-list分发列表是用于控制路由更新的一个工具,只能过滤路由信息,不能过滤LSA。

对于距离矢量路由协议有效,对于链路状态路由协议,如OSPF就没用了,数据库仍然泛洪传播

distribute-list out 命令会过滤从命令中指定的接口或路由协议发出的更新,在进入的路由进程下进行配置。

distribute-list in 命令会过滤进入命令中指定的接口更新,在进入的路由进程下进行配置。

示例:只允许这些路由发出去,禁止10.10.13.0和10.10.14.0同步过去

ip access-list standard routedeny

permit 192.168.10.0 0.0.0.255

permit 192.168.20.0 0.0.0.255

exit

router ospf 100

redistrubute eigrp 100 metric 40 subnets   //互相重分布

distribute-list routedeny out eigrp 100  //重发布进来的路由,用此条禁止再发出去,默认隐含deny any,对ospf不起作用但这里是对eigrp有用的

也可以直接不写路由协议,对全局路由过滤

distribute-list out 命令指定了ACL匹配的前缀,会被从EIGRP 10重分布到ospf路由进程。访问列表末尾隐含的deny any命令,能够防止通告其他网络的路由更新。因此,路由器会对其他网络隐藏网络10.10.13.0和10.10.14.0

distribute-list in 命令可以过滤通过接口进入的入方向路由更新。这条命令会防止多数路由协议将过滤路由放入其数据库中。在OSPF中使用此命令时,路由会被放到数据库中,但不会被放到路由表中。注意:lsa照样会传播到同as域中的其他路由

2.前缀列表

       只是能比acl更好的进行灵活匹配,与更高的执行效率,就是来替代acl的一个东西,还是需要分发列表与路由图来执行,选路章节中有写

3.route-map路由图

       这个可就多了

       可以使用match来匹配条件,用set来执行需要的功能

       应用方式就在重发布时应用,这才叫路由策略,在端口的叫策略路由:

              router ospf 100

              redistrubute eigrp 100 subnets route-map 123

       互相重分布时使用route-map来过滤常见的有:

       <1>直接deny过滤掉

       <2>添加度量值巧妙的改变路径,set metric

       <3>使用路由标记控制重分布

                     这就要好好说说了,在两个路由区域中有两个边界路由,两台都互相重分布,

as1路由流入as2中打上一个tag 10,在另一台边界路由器中ac2流入as1时匹配tag并拒绝它,这样就不会路由环路了。

bgp:

show ip bgp     查看路由获取的网段

show ip bgp summary   查看简略信息,用来看邻居很好

show ip bgp neighbors  查看邻居详细信息

  1. 骨干网通告EG1、EG2专线至区教育局,R1、R2均以汇总B段静态路由的方式进行发布。

 重发布静态路由,静态路由以B段发布

      redistribute static    汇总B段静态路由方式进行发布

ip route 10.10.0.0 255.255.0.0 GigabitEthernet null 0   汇总B段(也可以写端口下一跳)

  1. R1、R2、R3直连接口封装PPP协议,部署IGP中OSPF动态路由实现直连网段互联互通;

RSR-A(config)#interface Serial 3/1/0   

RSR-A (config-if - Serial 3/1/0)# encapsulation PPP  //封装为PPP

做IBGP需要做ospf,通告三个路由器之间的直连链路以及回环接口(重要)

  1. R1、R2、R3间部署IBGP,AS号为100, 使用Loopback接口建立Peer;

 R1(config)#router bgp 100      //启用bgp进程,AS号为123

R1(config-router)#neighbor 2.2.2.2 remote-as 100     //指定BGP邻居地址及邻居的AS ,邻居的lo地址

R1(config-router)#neighbor 2.2.2.2 update-source loopback 0       //配置BGP的更新源地址

R1(config)#router bgp 100

R1(config-router)#network 10.1.1.0 mask 255.255.255.0

发布非直连路由:

bgp redistribute-internal 允许IGP重分发进BGP,不用重发布就不用写了,锐捷写完不显示

no synchronization 关闭同步,什么是BGP同步见知识点文档,锐捷写完也不显示。

(config-router)#redistribute static  重发布静态,度量为0

  (config-router)#redistribute ospf 30 metric 1 match internal   重发布ospf,否则会路由黑洞,要连接IGP,ospf不用重发布bgp,    这俩是默认的

  (config-router)#neighbor 11.1.0.1 next-hop-self   告知ibgp邻居(就是让下一个路由收到的路由表下一跳改为直连路由,否则R3路由表直接照搬到R1/R2就找不到下一跳了)

ebgp-multihop 一般在ebgp中使用,指定可以走几跳,默认是TTL=1只能用在直连的,设定了跳数后就可以延长跳数,一般在bgp联盟和特殊情况用

EBGP:

配置EBGP邻居

注意:

若bgp邻居的AS号与自己的AS号一致,建立的是IBGP邻居关系,若bgp邻居的AS号与自己的AS号不一致,建立的是EBGP邻居关系。

R1(config)#router bgp 1

R1(config-router)#neighbor 192.168.1.2 remote-as 2

network 10.1.1.0 mask 255.255.255.0

R1(config-router)#exit

 

R2(config)#router bgp 2

R2(config-router)#neighbor 192.168.1.1 remote-as 1

network 10.1.2.0 mask 255.255.255.0

R2(config-router)#exit

ospf:

show ip ospf neighbor 查看邻居

V6的ospf在ipv6里

router ospf 1(id)

router-id   尽量写上比较好,尽量写loop接口

network 192.168.10.0 0.0.0.255 area 0

接口下:ip ospf network point-to-point     加快收敛速度

在网络中两台设备互联时,使用30位掩码,也可以这样配。。缩减路由加载速度,这样就不会选举DR和DBR,什么掩码都可以写,就是加快收敛速度的

汇总域内路由

将R4上的10.4.1.0/24路由,在R3汇总成10.4.0.0/16

R3(config)#router ospf 1

R3(config-router)#area 2 range 10.4.0.0 255.255.0.0    //汇总域内路由(area后面加的区域必须是该路由起源的区域

汇总域外路由

ospf对外部路由做汇总只能在外部路由重分发进来的ASBR路由器对外部路由做汇总。

在R1上将重分发进来的静态路由10.1.2.0/16,汇总成10.1.0.0/16

R1(config)#router ospf 1

R1(config-router)#summary-address 10.1.0.0 255.255.0.0      //汇总域外路由

NSSA

ASBR5 lsa转为7 lsa,再由ABR7 lsa转为5 lsanssa区域里阻隔4,5 lsa 同设备ospf同类型中不同area是通过3 lsa传播。

ABRASBR的相连的一端都设置为nssa,:

router ospf 1

area 1 nssa

nssa是为了将内部路由缺省出去,精简内部路由表

完全NSSA区域:在NSSA区域的基础上过滤了3LSA,并且注入了一条三类的默认路由。

NSSA的原理不复杂,配置更简单,相关命令只有一条:

[Router-ospf]

area area-id nssa [ default-route-advertise ] [ no-import-route ] [ no-summary ]

area-id:是需要配置成NSSA的区域的区域号。“[]”内的参数只有在该路由器ABR时才会生效。

关键字default-route-advertise用来产生缺省的Type-7 LSA,应用了该参数后,在ABR上无论路由表中是否存在缺省路由0.0.0.0,都会产生Type-7 LSA缺省路由;而在ASBR上当路由表中存在缺省路由0.0.0.0,才会产生Type-7 LSA缺省路由。

关键字no-import-route用在ASBR上,使得OSPF通过import-route命令引入的路由不被通告到NSSA区域。如果NSSA路由器既是ASBR也是ABR,一般选用该参数选项。

为了进一步减少发送到NSSA区域中的链路状态发布(LSA)的数量,可以在ABR上配置no-summary属性,禁止ABRNSSA区域内发送summary_net LSAsType-3 LSA)。配置该参数后,ABR会将Type3类型的LSA也过滤掉,即:NSSA区域中也不会出现区域间路由,路由表进一步精简。既然有缺省路由,那么其他指向区域外的具体路由都是没有必要的了。该参数推荐配置。

即:如果路由器只是一台区域内路由器,只需配置area area-id nssa即可。如果是ABR,根据实际需要,选择添加三个可选参数。

  1.       要求业务网段中不出现协议报文;

 router ospf 1

passive-interface vlan 10  业务网段

passive-interface vlan 20

passive-interface vlan 30

也可以

passive-interface defualt

no passive-interface fast 0/24 上联接口

配置OSPFBFD联动

配置OSPF与BFD联动

RSR-A(config)#interface gigabitEthernet 2/1

RSR-A(config-GigabitEthernet 2/1)#bfd interval 500 min_rx 500 multiplier 3 

//配置BFD时间参数,该命令同时启用了接口的BFD功能,因此必须配置;

   这里的 500/500/3 为推荐配置,间隔500ms发送一个探测报文,连续3个没收到回应宣告链路失败。

RSR-A(config-GigabitEthernet 2/1)#no bfd echo    

//推荐配置为该模式(ctrl模式),默认是bfd echo模式;

   和友商对接推荐ctrl模式,否则可能对接不起来。

RSR-A(config-GigabitEthernet 2/1)#ip ospf bfd        //在对应的接口开启OSPFBFD联动功能

交换机的

SWA(config)#interface gigabitEthernet 2/1

SWA(config-GigabitEthernet 2/1)#bfd interval 500 min_rx 500 multiplier 3  ------>配置BFD时间参数该命令同时启用了接口的BFD功能因此必须配置;   这里的 500/500/3 为推荐配置间隔500ms发送一个探测报文连续3个没收到回应宣告链路失败。建议BFD会话两端的参数配置一致,这样可以确保关联BFD应用协议同时生效,避免由于两端配置的抑制时间不同而出现转发路径单通的情况。

SWA(config-GigabitEthernet 2/1)#no bfd echo     ------>默认是bfd echo模式在某些时候如中间连接FW或对接友商设备的时候可能吧echo报文过滤导致BFD无法建立成功推荐关闭和友商对接的时候部分设备默认没有支持echo模式本端默认打开的情况下可能会出现回话down

SWA(config-router)#router ospf 123  

SWA(config-router)#bfd all-interfaces         ------>开启OSPFBFD联动

端口聚合Agg不能写no bfd echo,写其他两个命令就行

rip

router rip

version 2

no auto-summary

ipv6配置:

Ruijie(config-if)#ipv6 address ipv6-prefix/prefix-length eui-64

为该接口配置 IPv6 的单播地址。如果指定参数 eui-64,只需指定前缀,接口标识符是按 EUI-64 格式自动生成,最终生成的 IPv6 地址是把配置的前缀和接口标识符合并形成的。

DHCP:

无状态自动配置:

         在接口或者vlan下ipv6 address autoconfig

有状态dhcp及中继:

         端口配置ipv6地址

Ruijie(config)#interface gigabitEthernet 1/1

Ruijie(config-if-GigabitEthernet 1/1)#no switchport

Ruijie(config-if-GigabitEthernet 1/1)#ipv6 address 2001::1/64   ----->配置接口IPv6地址

Ruijie(config-if-GigabitEthernet 1/1)#ipv6 enable    

 开启RA通告功能,并且设置MO

DHCPv6 Server 不支持为客户端分配网关地址 需要在设备上开启 RA 通告功能

、设置路由器公告(RA)报文中的“managed address configuration”标志位, 决定了收到该路由器公告的主机是否要使用全状态自动配置来获取地址。缺省配置是在路由器公告报文中该标志位没有被设置

、设置路由器公告(RA)报文中的“other stateful configuration”标志位, 决定了收到该路由器公告的主机是否要使用全状态的自动配置来获取除地址之外的信息。缺省配置是在路由器公告报文中该标志位没有被设置

Ruijie(config)#interface gigabitEthernet 1/1

Ruijie(config-if-GigabitEthernet 1/1)#no ipv6 nd suppress-ra     ----->开启路由通告功能

Ruijie(config-if-GigabitEthernet 1/1)#ipv6 nd managed-config-flag----->设置RA通告的M

Ruijie(config-if-GigabitEthernet 1/1)#ipv6 nd other-config-flag   ----->设置RA通告的O

       Ruijie(config-if-GigabitEthernet 1/1)#ipv6 nd prefix 2001::/64 no-autoconfig  ----->指明通告的前缀不能用于无状态自动配置

配置IPv6服务器,包括配置域名、前缀、DNS服务器等

Ruijie(config)#ipv6 dhcp pool ruijie     ----->创建IPv6地址池

Ruijie(dhcp-config)#domain-name www.example.com.cn   ----->配置分配给客户端的域名

Ruijie(dhcp-config)#dns-server 2003::1              ----->配置分配给客户端的DNS服务器

Ruijie(dhcp-config)#prefix-delegation pool ruijie      ----->应用IPv6前缀池

Ruijie(dhcp-config)#exit

Ruijie(config)#ipv6 local pool ruijie 2001::/64 64      ----->创建分配给客户端的本地前缀池

Ruijie(config)#end

5、在接口上启用DHCPv6 Server服务功能

Ruijie(config)#interface gigabitEthernet 1/1

Ruijie(config-if-GigabitEthernet 1/1)#ipv6 dhcp server ruijie  ----->接口上启用IPv6功能

中继:从终端到dhcp服务器都需要ipv6链路连通

Ruijie(config)#ipv6 unicast-routing    ----->开启IPv6路由功能

Ruijie(config)#interface vlan 2

Ruijie(config-if-VLAN 2)# ipv6 address 2001:1::1/64

Ruijie(config-if-VLAN 2)# ipv6 enable

Ruijie(config-if-VLAN 2)# ipv6 dhcp relay destination 2001::1 ----->配置DHCPv6中继

开启RA通告功能,并且设置M

Ruijie(config-if-VLAN 2)# no ipv6 nd suppress-ra       ----->开启路由通告功能

Ruijie(config-if-VLAN 2)# ipv6 nd managed-config-flag  ----->设置RA通告的M

DHCPv6 Server 不支持为客户端分配网关地址, 需要在设备上开启 RA 通告功能

、设置路由器公告(RA)报文中的“managed address configuration”标志位, 决定了收到该路由器公告的主机是否要使用全状态自动配置来获取地址。缺省配置是在路由器公告报文中该标志位没有被设置

  1. 各区县学校部署IPV6网络实现总分机构内网IPV6终端可通过无状态自动从网关处获取地址。

 Ruijie(config)#ipv6 unicast-routing    开启IPv6路由功能    

Ruijie(config)#interface gigabitEthernet 0/1

Ruijie(config-if-GigabitEthernet 0/1)#no switchport

Ruijie(config-if-GigabitEthernet 0/1)#ipv6 address 2001::1/64 配置接口IPv6地址    

Ruijie(config-if-GigabitEthernet 0/1)#ipv6 enable          接口下使能IPv6功能

Ruijie(config-if-GigabitEthernet 0/1)#no ipv6 nd suppress-ra   开启路由通告功能    

Ruijie(config-if-GigabitEthernet 0/1)#end

  1. S3、S4、AC1、AC2部署IPV6静态路由协议,实现数据中心有线与无线IPV6终端互联互通;

一般静态路由

ipv6 route 2001:11::1/64  2001:13:1

缺省静态路由

ipv6 route ::/0  2001:13:1

ipv6(ospfv3):

show ip ospf neighbor

show ipv6 ospf neighbor

show ipv6 ospf database  显示链路状态数据库

ipv6 unicast-routing  单播路由使能

ipv6 router ospf  id  启动ospfv3

router-id  id  必须设置,32位的

接口下

int lo 0

ipv6 address 2001:1::1/64

    ipv6 ospf id area 0

tunnel:

ipv6 unicast-routing

interface Tunnel 0

书上写的tunnel mode ipv6ip 这条敲完vsu不显示

 猜想 tunnel mode gre {ip | ipv6}     默认存在,也可不写,指定隧道的类型为 GRE 隧道, 并指定隧道的承载协议是 IPV4 或者 IPV6 ,

 tunnel source Loopback 0     ipv4,端口,ipv6都可以,这里写回环是为了两条链路都通

 tunnel destination 11.1.0.67

 ipv6 address 2001:11:1:3::1/64

 ipv6 enable

 ipv6 ospf 10 area 0  加入ospfv3路由里

!

ipv6 router ospf 10  顺带一个ospfv3路由,把tun0发布到路由里实现两端内网通

自动6to4隧道:

ipv6 unicast-routing

interface GigabitEthernet 0/0

 ip address 10.1.1.5 255.255.255.252  这不需要,内网可以不用ipv4地址,如果有记得写路由

 ipv6 address 2002:193:10::1/64

 ipv6 enable

!

interface GigabitEthernet 0/1   外网口

 ip address 201.164.10.1 255.255.255.252    不能是私网地址

!    201.164.10.1= C9A4:A01

interface Tunnel 0

 tunnel mode ipv6ip 6to4

 tunnel source GigabitEthernet 0/1

 ipv6 address 2002:C9A4:A01:1::1/64     计算出来的

 ipv6 enable

!

ipv6 route 2002::/16 Tunnel 0 2002:c9a4:a02:1::1    必须要写对端隧道地址

路由选路部署:

ACL prefix-list

相同点

都可以用来匹配路由前缀

不同点

ACL可以用来过滤数据包匹配ip报文的五大元素,prefix-list 只能用来匹配路由前缀

如何选择:

匹配路由前缀时,使用ACL或使用prefix-list 均可以,两者只要选择其一。当需要匹配一个大网段下的不同掩码长度的路由前缀时,使用prefix-list 更加方便。

 

distribute-list route-map

相同点

都可以用来做路由过滤

不同点

1)distribute-list 只能过滤路由条目无法修改路由属性;route-map除了可以过滤路由条目还能够修改路由属性。

2)route-map可以强制修改数据包的下一跳,做策略路由。

3)distribute-list 应用的地方为:路由协议重分发时距离矢量路由协议邻居之间的路由传递(距离矢量协议邻居之间传递的是路由,因此可以做路由过滤)及链路状态路由协议将路由提交路由表时(链路状态协议邻居之间传递的是lsa并非路由,不能过滤邻居之间传递的lsa)。

4)route-map应用的地方为:路由协议重分发时,bgp邻居传递路由时。

如何选择

看具体的应用场景distribute-list route-map均能够使用那么若需要修改路由属性必须使用route-map若不需要修改路由属性,2者选其一就可以。

1.distribute-list 分发列表通过distribute-list 工具对路由更新进行控制只能进行路由条目过滤不能修改路由的属性

1)distribute-list过滤的路由条目是由acl和前缀列表匹配出来的具体过滤什么路由条目是由acl和前缀列表决定的

2.route-map 路由图通过route-map工具可以对路由更新进行控制并且能够修改路由的属性

注意:

1)匹配路由条目的工具有acl和前缀列表两种,只要选择其中一种就可以

2)若需要匹配一个网段下的几个子网路由,那么用前缀列表会更方便一线,当然用acl也是可以的,只是要写多个条目

如下示例,匹配路由条目172.16.1.32/27、172.16.1.48/28和172.16.1.56/29,acl需要写3个ace条目,前缀列表只要1个条目

1)使用acl匹配路由条目

注意:

此处acl匹配的是路由条目,掩码用0.0.0.0精确匹配对应的路由条目

R2(config)#ip access-list standard 1

R2(config-std-nacl)#10 permit 172.16.1.32 0.0.0.0

R2(config-std-nacl)#20 permit 172.16.1.48 0.0.0.0

R2(config-std-nacl)#30 permit 172.16.1.56 0.0.0.0

R2(config-std-nacl)#exit                 

2使用前缀列表匹配路由条目

注意

1前缀列表只能用来匹配路由条目不能用来做数据包过滤

2)前缀列表匹配的是一个网段下的子网,ge代表大于等于多少位掩码,le代表小于多少位掩码

3)前缀列表也是从上往下匹配,与acl的匹配顺序及规则是一样的

R2(config)#ip prefix-list ruijie seq 10 permit 172.16.1.0/24 ge 28 le 30   //定义前缀列表ruijie,匹配前缀为172.16.1.0/24,子网掩码大于等于28小于等于30的路由条目

考虑到数据分流及负载均衡的目的,具体要求如下:

  1. 可通过修改OSPF 路由COST达到分流的目的,且其值必须为5或10;
  2. 财务、科技IPV4用户与互联网互通主路径规划为:S3-EG1;
  3. 研发、后勤IPV4用户与互联网互通主路径规划为:S4-EG1;
  4. 主链路故障可无缝切换到多条备用链路上。

单条路由分路:

interface GigabitEthernet 1/0/24

 description Link_To_EG1 _Gi0/1

ip ospf cost 10

vlan路由分路:

FB-VSU-S6000(config-if-VLAN 10)#ip ospf cost 10

FB-VSU-S6000(config-if-VLAN 10)#show ip ospf int vlan 10

VLAN 10 is up, line protocol is up

  Process ID 20, Router ID 11.1.0.67, Network Type BROADCAST, Cost: 10

 

H卷真题最难!!!

  1. R1引入路由时进行路由标记,生产网段标记为10,办公网段标记为20,loopback地址标记为30,路由图定义为SET_TAG;

ip access-list standard 1

 10 permit 194.63.10.0 0.0.0.255

!

ip access-list standard 2

 10 permit 194.63.20.0 0.0.0.255  

!

ip access-list standard 3

 10 permit host 11.1.0.1

route-map SET_TAG permit 5

match ip address 1

set tag 10

!

route-map SET_TAG permit 10

match ip address 2

set tag 20

!

route-map SET_TAG permit 15

match ip address 3

set tag 30

router ospf 20

redistribute connected metric-type 1 route-map SET_TAG subnets

  1. VSU引入路由时进行路由标记,生产网段标记为100,办公网段标记为200,loopback地址标记为300,路由图定义为SET_TAG;
  2. R2、R3要求OSPF双进程重发布,OSPF20进程发布至OSPF21进程时关联路由图定义为OSPF20_TO_OSPF21,OSPF21进程发布至OSPF20进程时关联路由图定义为OSPF21_TO_OSPF20;

R2:

    route-map OSPF20_TO_OSPF21 permit 5

 match tag 10

 set metric 5

!

route-map OSPF20_TO_OSPF21 permit 10

 match tag 20

 set metric 10

!

route-map OSPF20_TO_OSPF21 permit 15

 match tag 30

 set metric 5

!

route-map OSPF20_TO_OSPF21 deny 20

 match tag 100 200 300

!

route-map OSPF20_TO_OSPF21 permit 25

!

route-map OSPF21_TO_OSPF20 permit 5

 match tag 100

 set metric 5

!

route-map OSPF21_TO_OSPF20 permit 10

 match tag 200

 set metric 10

!

route-map OSPF21_TO_OSPF20 permit 15

 match tag 300

 set metric 5

!

route-map OSPF21_TO_OSPF20 deny 20

 match tag 10 20 30

!

route-map OSPF21_TO_OSPF20 permit 25

router ospf 20

 router-id 11.1.0.2

redistribute ospf 21 metric-type 1 route-map OSPF21_TO_OSPF20 subnets

!

router ospf 21

 router-id 11.1.0.22

 redistribute ospf 20 metric-type 1 route-map OSPF20_TO_OSPF21 subnets

R3:

route-map OSPF20_TO_OSPF21 permit 5

 match tag 10

 set metric 10

!

route-map OSPF20_TO_OSPF21 permit 10

 match tag 20

 set metric 5

!

route-map OSPF20_TO_OSPF21 permit 15

 match tag 30

 set metric 10

!

route-map OSPF20_TO_OSPF21 deny 20

 match tag 100 200 300

!

route-map OSPF20_TO_OSPF21 permit 25

!

route-map OSPF21_TO_OSPF20 permit 5

 match tag 100

 set metric 10

!

route-map OSPF21_TO_OSPF20 permit 10

 match tag 200

 set metric 5

!

route-map OSPF21_TO_OSPF20 permit 15

 match tag 300

 set metric 10

!

route-map OSPF21_TO_OSPF20 deny 20

 match tag 10 20 30

!

route-map OSPF21_TO_OSPF20 permit 25

router ospf 20

 router-id 11.1.0.3

redistribute ospf 21 metric-type 1 route-map OSPF21_TO_OSPF20 subnets

!

router ospf 21

 router-id 11.1.0.33

 redistribute ospf 20 metric-type 1 route-map OSPF20_TO_OSPF21 subnets

  1. R2、R3要求OSPF路由标记过滤规避路由环路与次优路径风险,OSPF20进程内路由过滤关联路由图定义为FILTER_OSPF21_TAG,OSPF21进程内路由过滤关联路由图定义为FILTER_OSPF20_TAG;

以下为我的猜想,不是正式答案

R2:

route-map FILTER_OSPF20_TAG, deny 5

match tag 10 20 30

!

route-map FILTER_OSPF20_TAG, permit 10 

!

!

route-map FILTER_OSPF21_TAG, deny 5

match tag 100 200 300

!

route-map FILTER_OSPF21_TAG, permit 10

router ospf 20

distribute-list  router-map FILTER_OSPF21_TAG in   这条和重发布加入路由图一个意思,也可以用来acl限定路由注入条目  redistribute ospf 1 route-map

!

router ospf 21

distribute-list  router-map FILTER_OSPF20_TAG in  

R3:

route-map FILTER_OSPF20_TAG, deny 5 

match tag 10 20 30

!

route-map FILTER_OSPF20_TAG, permit 10 

!

!

route-map FILTER_OSPF21_TAG, deny 5 

match tag 100 200 300

!

route-map FILTER_OSPF21_TAG, permit 10 

router ospf 20

distribute-list  router-map FILTER_OSPF21_TAG in 

!

router ospf 21

distribute-list  router-map FILTER_OSPF20_TAG in 

  1. 路由图中涉及COST值的调整,要求其值必须为5或10;
  2. 通过策略部署,使得生产业务的主路径为R1R2VSU,办公业务的主路径为R1R3VSU,且要求来回路径一致。Loopback接口互访路径与办公业务一致;
  3. 主链路或R2、R3故障时可无缝切换到备用链路上。

在上面就做了set metric 5/10   值越小越好,成本越低

基于ip检测配置:(基于端口的看思科改一下就行)

DEV1(config)# ip access-list extended 101

DEV1(config-ip-acl)# permit ip 200.24.16.0 0.0.0.255 any

DEV1(config-ip-acl)# exit

DEV1(config)# ip access-list extended 102

DEV1(config-ip-acl)# permit ip 200.24.17.0 0.0.0.255 any

DEV1(config-ip-acl)# exit

Ruijie(config)#ip rns 1

Ruijie(config-ip-rns)#icmp-echo 200.24.18.1 out-interface gigabitEthernet 0/1 source-ipaddr 200.24.18.2

Ruijie(config-ip-rns-icmp-echo)#timeout 5000

Ruijie(config-ip-rns-icmp-echo)#frequency 5000

Ruijie(config-ip-rns-icmp-echo)#exit

Ruijie(config)#track 1 rns 1

Ruijie(config-track)#delay up 10 down 10

Ruijie(config-track)#exit

Ruijie(config)#ip rns 1

Ruijie(config-ip-rns)#icmp-echo 200.24.19.1 out-interface gigabitEthernet 0/2 source-ipaddr 200.24.19.2

Ruijie(config-ip-rns-icmp-echo)#timeout 5000

Ruijie(config-ip-rns-icmp-echo)#frequency 5000

Ruijie(config-ip-rns-icmp-echo)#exit

Ruijie(config)#track 1 rns 1

Ruijie(config-track)#delay up 10 down 10

Ruijie(config-track)#exit

DEV1(config)# route-map RM_FOR_PBR 10

DEV1(config-route-map)# match ip address 101

DEV1(config-route-map)# set ip next-hop verify-availability 200.24.18.1 track 1

DEV1(config-route-map)# set ip next-hop verify-availability 200.24.19.1 track 2

DEV1(config-route-map)# exit

DEV1(config)# route-map RM_FOR_PBR 20

DEV1(config-route-map)# match ip address 102

DEV1(config-route-map)# set ip next-hop verify-availability 200.24.19.1 track 2

DEV1(config-route-map)# set ip next-hop verify-availability 200.24.18.1 track 1

DEV1(config-route-map)# exit

DEV1(config)# interface GigabitEthernet 0/3

DEV1(config-if-GigabitEthernet 0/3)# ip policy route-map RM_FOR_PBR

DEV1(config-if-GigabitEthernet 0/3)# exit

注释:

Verify if nexthop is reachable   验证是否可以访问nexthop

注意

1)route-map的匹配顺序为从上往下匹配当流量匹配到策略后就按匹配的策略转发数据不会继续往下匹配。

2)route-map 最后有有一条deny所有的语句,对于没有匹配到策略路由的流量,不会把内网的流量丢弃,而是做正常的ip 路由转发。

3)set ip next-hop 可以设置下一跳ip地址也可以设置数据包的出接口建议设置为下一跳的ip地址。

4)策略路由一定要应用到数据包的in方向接口,不能应用到数据包的out方向接口。因为策略路由实际上是在数据包进路由器的时候,强制设置数据包的下一跳,out方向接口,路由器已经对数据包做完ip路由,把数据包从接口转发出去了,故out方向策略路由不生效。

QoS部署:

  1. 实验小学接入设备S1的Gi0/1至Gi0/16接口入方向设置接口限速,限速10Mbps,猝发流量1024 kbytes;

基于端口的

Ruijie(config)#interface gigabitEthernet 1/1       ------>进入接口

Ruijie(config-if-GigabitEthernet 1/1)#rate-limit input 10000 1024

                                                   kbps  kbytes

  1. 城域网骨干网R2服务节点在带宽为2Mbps的S3/0接口做流量整形;

  1、在接口使用traffic-shap rate 进行流量整型

RSR-A(config)#interface GigabitEthernet 0/0 

RSR-A(config-GigabitEthernet 0/0)#traffic-shape rate 1900000   

命令说明:

1) 这里配置整型为1900000bps,等于1.9Mbps(运营商带宽单位也是Mbps)。该参数值按下文“整形带宽参数设置经验值“的计算方法填写。

2) 这个配置后面还有一些令牌桶、突发等参数可调试,建议不去配置,系统自动生成

RSR-A(config-GigabitEthernet 0/0)#traffic-shape rate 2000000 ?

  <0-100000000>  Bits per interval, sustained

  <cr> 

注意:

1、上文配置案例中运营商提供的MSTP链路带宽是2Mbps,可为什么配置1.9Mbps

原因:运营商提供的带宽不一定达到2M,通常也略有水分。但就是一点点的水分会影响QoS的效果。比如,运营商宣称2Mbps,实际只有1.9Mbps,GTS配置的是2Mbps,导致的结果是,在达到1.99Mbps流量时,队列机制还未生效,但已经有0.09Mbps的流量被运营商丢弃了,对于优先级高的报文也是等比例丢弃,无法确保QoS效果。

2、整形带宽参数设置经验值:

以太链路:配置为运营商提供带宽的95%

ATM链路:配置为运营商提供带宽的80% 。说明:由于QoS是IP层功能,数据进入ATM接口封装为信元后,报文开销会而外增大许多,所以,如果ATM带宽10Mbps时,GTS限制为8Mbps,加上ATM信元开销就接近10Mbps了。

  1. 城域网骨干网R2服务节点在G0/0接口做流量监管,上行报文流量不能超过10Mbps,Burst-normal为1M bytes, burst-max为2M bytes如果超过流量限制则将违规报文丢弃。

 RSR-A(config)#interface gigabitEthernet 0/0.1      //进入视频子接口/接口

RSR-A(config-if-GigabitEthernet 0/0.1)#rate-limit [input/output] 10000000 1000000 2000000 conform-action transmit  exceed-action drop

rate-limit命令除了配置限制的速率大小,还要设置令牌通和突发速率大小,B和C这两个数值怎么配?参考以下经验值:

 

B=A/10  

C=A/5

命令解释

Ruijie(config-if)# rate-limit { input  |  output}  bps  burst-normal burst-max conform-action action exceed-action   action 

Bps 用户希望该流量的速率上限单位是 bps  

Burst-normal burst-max 这个是指token bucket 的令牌桶的大小值单位是

bytes 

Conform-action 在速率限制以下的流量的处理策略。 

Exceed-action超过速率限制的流量的处理策略。 

Action 处理策略包括以下几种

继续匹配下一条的策略

·      Continue 匹配下一条策略

·      Drop  丢弃报文

·      Set-dscp-continue    设置报文 DSCP 域后该报文继续匹配下一条的策略

·      Set-dscp-transmit   设置报文 DSCP 域后发送该报文

·      Set-prec-continue   设置报文IP Precedence 域后该报文继续匹配下一条的策略

·      Set-prec-transmit   设置报文 IP Precedence 域后发送该报文

·      Transmit          发送该报文

无线:

ap恢复出厂设置: apm factory-reset

AC恢复出厂设置

带text基本都是

device convert mode 【virtual/standalone】切换模式

del 以下

config.text

ap-config.text

ap-standalone.text 

standalone.text     

show ap-config summary ap-auth  查看上线的ap

show ap-config summary deny-ap  查看没上线的ap

修改隧道地址ip(默认是loopback)

ac-controller

 capwap ctrl-ip 192.1.100.3

                                                      

AC热备A/S:(active/standby)

dhcp在核心上

简单描述:集中/隧道转发ac需要trunk并且创建用户vlan,本地转发不需要创建用户vlan,但都需要管理vlan,三层部署不算

核心dhcp:option 138 1.1.1.1 2.2.2.2  

顺序配置基本一致

先在主ac上配置

AC-1(config)#wlan-config 1 rebei-test  

AC-1(config)#ap-group ruijie  

AC-1(config-ap-group)#interface-mapping 1 10   

AC-1(config)# exit  

AC-1(config)# wlan hot-backup 2.2.2.2    对端loop地址

AC-1(config-hotbackup)# context 10  

AC-1(config-hotbackup-ctx)# priority level 7 表示抢占仅主ac用,备ac不做

AC-1(config-hotbackup-ctx)# ap-group ruijie   

AC-1(config-hotbackup)# exit  

AC-1(config-hotbackup)# wlan hot-backup enable   

主备AC上同一个AP的配置:主备AC关于该AP的配置必须完全一致。以mac地址为0001.0000.0001的AP为例,假设AP已在主AC上上线:  

主AC配置(ap已经上线且没有重命名)  

AC-1(config)#ap-config 0001.0000.0001 ----->AP已经上线  

AC-1(config-ap)#ap-group ruijie ----->调用已经加入热备的ap-group  

AC-1(config-ap)#ap-name ap320 ----->主备AC上对于同一个AP的名字必须一致  

备AC(AP还未上线)  

AC-2(config)#ap-config ap320 ----->AP还未上线AP还未上线,做预配置(如果AP也还没和主AC建立隧道可以采用该配置方式)  

AC-2(config-ap)#ap-mac 0001.0000.0001 -----> 指定“ap-config ap320”是给mac地址为0001.0000.0001的AP使用,该AP上线后会自动使用该ap-config的配置  

AC-2(config-ap)#ap-group ruijie   ----->调用已经加入热备的ap-group  

核心(config)#ip route 1.1.1.1 255.255.255.255 192.168.30.2  

核心(config)#ip route 2.2.2.2 255.255.255.255 192.168.30.3  

AC-1配置:  

AC-1(config)#ip route 0.0.0.0 0.0.0.0 192.168.30.1  

AC-2配置:  

AC-2(config)#ip route 0.0.0.0 0.0.0.0 192.168.30.1

dhcp及无线用户网关在AC上,核心做中继,

也可以核心做ap的dhcp

核心dhcp:option 138 1.1.1.1 2.2.2.2

顺序配置基本一致

先在主ac上配置

AC-1(config)#interface VLAN 10   ----->无线用户vlan  

AC-1(config-if-VLAN 10)#ip address 192.168.10.2 255.255.255.0  

AC-1(config-if-VLAN 10)#vrrp 1 ip192.168.10.1  ----->启用VRRP功能,这里配置VRRP组号为1

AC-1(config-if-VLAN 10)#vrrp 1 priority 150

AC-1(config-if-VLAN 10)#exit

AC-1(config)#service dhcp  

AC-1(config)#ip dhcp pool sta----->无线用户地址池  

AC-1(dhcp-config)#network 192.168.10.0 255.255.255.0 192.168.10.4 192.168.10.254  限制地址

AC-1(dhcp-config)# dns-server 8.8.8.8  

AC-1(dhcp-config)# default-router 192.168.10.1  

AC-1(config)#wlan-config 1 rebei-test  

AC-1(config)#ap-group ruijie  

AC-1(config-ap-group)#interface-mapping 1 10   

AC-1(config)# exit  

AC-1(config)# wlan hot-backup 2.2.2.2

AC-1(config-hotbackup)# context 10  

AC-1(config-hotbackup-ctx)# priority level 7 表示抢占仅主ac用,备ac不用写

AC-1(config-hotbackup-ctx)# ap-group ruijie   

AC-1(config-hotbackup-ctx)# dhcp-pool sta

AC-1(config-hotbackup-ctx)# vrrp interface vlan 10 group 1  这个1是vrrp组号

AC-1(config-hotbackup)# exit  

AC-1(config-hotbackup)# wlan hot-backup enable   

主备AC上同一个AP的配置:主备AC关于该AP的配置必须完全一致。以mac地址为0001.0000.0001的AP为例,假设AP已在主AC上上线:  

主AC配置(ap已经上线且没有重命名)  

AC-1(config)#ap-config 0001.0000.0001 ----->AP已经上线  

AC-1(config-ap)#ap-group ruijie ----->调用已经加入热备的ap-group  

AC-1(config-ap)#ap-name ap320 ----->主备AC上对于同一个AP的名字必须一致  

备AC(AP还未上线)  

AC-2(config)#ap-config ap320 ----->AP还未上线AP还未上线,做预配置(如果AP也还没和主AC建立隧道可以采用该配置方式)  

AC-2(config-ap)#ap-mac 0001.0000.0001 -----> 指定“ap-config ap320”是给mac地址为0001.0000.0001的AP使用,该AP上线后会自动使用该ap-config的配置  

AC-2(config-ap)#ap-group ruijie   ----->调用已经加入热备的ap-group  

核心(config)#ip route 1.1.1.1 255.255.255.255 192.168.30.2  

核心(config)#ip route 2.2.2.2 255.255.255.255 192.168.30.3  

核心(config)#ip route 192.168.10.0 255.255.255.0 192.168.30.2   用户地址

核心(config)#ip route 192.168.10.0 255.255.255.0 192.168.30.3   

AC-1配置:  

AC-1(config)#ip route 0.0.0.0 0.0.0.0 192.168.30.1  

AC-2配置:  

AC-2(config)#ip route 0.0.0.0 0.0.0.0 192.168.30.1

AC热备A/A:(active / active)

VAC虚拟化:

一定记得删除以前的vac接口配置

如果% Port GigabitEthernet 1/0/5 has already being vsl port.

那就no port-member interface gigabitEthernet 0/5再输入一遍port-member interface gigabitEthernet 0/5

AC1主

AC1:主

hostname AC1

virtual-ac domain 1

    device 1

    device 1 priority 150

    device 1 description AC-1

    exit

vac-port

     port-member interface gigabitEthernet 0/4

     port-member interface gigabitEthernet 0/5

     exit

int ran g 0/4-5

mtu 9216

switchport access vlan 2024

end

#需要做完AC2再重启,两台AC重启时间不能超过3分钟,否则虚拟失败

write

device convert mode virtual

AC2:备

hostname AC2

virtual-ac domain 1

    device 2

    device 2 priority 120

    device 2 description AC-2

    exit

vac-port

     port-member interface gigabitEthernet 0/4

     port-member interface gigabitEthernet 0/5

     exit

int ran g 0/4-5

mtu 9216

switchport access vlan 2024  #多ac需要用的,直连就不需要

end

write

device convert mode virtual

如果是多台ac主机做vac,多台是全都跟交换机连接业务链路和VSL接口,通过交换机进行连接,那么在这做法之上,还要将VSL接口加入一个独立的vlan中,所有成员AC的VSL口要属于同一个二层局域网内,配置同一个VLAN。建议非VSL口移除这个VLAN,也就是规划一个VLAN,只给VSL链路转发使用。

配置完成后

上联核心做聚合负载均衡:

上连交换机和AC连接的业务口,需要加入聚合口,并且配置负载均衡模式为源IP+目的IP。    

      ruijie (config)#interface aggregateport 1 

      ruijie (config-if-AggregatePort 1) # switchport mode trunk  

      ruijie (config-if-AggregatePort 1) #exit

      ruijie (config)#interface gigabitEthernet 0/5

      ruijie(config-if- GigabitEthernet 0/5)#port-group 1  #业务口加入聚合口    

      ruijie (config-if- GigabitEthernet 0/5)#interface gigabitEthernet 0/6

      ruijie(config-if- GigabitEthernet 0/6)#port-group 1

      ruijie(config-if- GigabitEthernet 0/6)#exit  # 同样的方法将交换机上所有业务口加入聚合口    

      ruijie (config)#aggregateport load-balance src-dst-ip#配置负载均衡策略    

ac做链路聚合:

AC(config)#interface aggregateport 1

     AC(config-if-AggregatePort 1)#switchport mode trunk

     AC(config-if-AggregatePort 1)#exit

     AC(config)#interface gigabitEthernet 1/0/1 

     AC(config-if-GigabitEthernet 1/0/1)#port-group 1

     AC(config)#interface gigabitEthernet 2/0/1 

     AC(config-if-GigabitEthernet 2/0/1)#port-group 1

bfd:

virtual-ac domain 1

 dual-active detection bfd

 dual-active bfd interface GigabitEthernet 1/0/3

 dual-active bfd interface GigabitEthernet 2/0/3

标准配置:

AC(config)#show run

hostname AC

!

wlan-config 1 aaa

 tunnel local   本地转发

!

wlan-config 2 bbb  集中转发

!

ap-group aaa

 interface-mapping 1 20 ap-wlan-id 1 // ap-wlan-id 1是自动添加上的,20指的是用户vlan

!

ap-group bbb

 interface-mapping 2 40 ap-wlan-id 1

!

vlan 1,20,30,40

!

interface GigabitEthernet 0/2

 switchport mode trunk

interface Loopback 0

 ip address 1.1.1.1 255.255.255.255

!

interface VLAN 30

 ip address 192.168.30.253 255.255.255.0

!

wlansec 1

 security wpa enable          #wap1

 security wpa ciphers aes enable

 security wpa akm psk enable

 security wpa akm psk set-key ascii 12345678

!

wlansec 2

 security rsn enable           #wap2

 security rsn ciphers aes enable

 security rsn akm psk enable

 security rsn akm psk set-key ascii 12345678

!

ip route 0.0.0.0 0.0.0.0 192.168.30.254

注意:默认所有AP都关联到ap-group default组,如果要调用新定义的ap-group,那么需要在相应的ap-config中配置ap-group xx。 第一次部署时每个AP的ap-config名称默认是AP的MAC地址(背面的贴纸mac,非以太网接口mac)。

ap-config 5869.6cd4.2b38

ap-group aaa

本地转发:相连接ap的交换机端口是trunk模式,做本征vlan为ap管理vlan

隧道转发:相连接ap的交换机端口是acc模式,只放通ap管理vlan

SW1(config)#show run

hostname SW1

service dhcp

!

ip dhcp pool user

 network 192.168.20.0 255.255.255.0

 dns-server 8.8.8.8

 default-router 192.168.20.254

!

ip dhcp pool ap

 option 138 ip 1.1.1.1

 network 192.168.10.0 255.255.255.0

 default-router 192.168.10.254

!

ip dhcp pool user2

 network 192.168.40.0 255.255.255.0

 dns-server 8.8.8.8

 default-router 192.168.40.254

!

vlan range 1,10,20,30,40

!

interface GigabitEthernet 0/1    本地转发

 switchport mode trunk

 switchport trunk native vlan 10

 switchport trunk allowed vlan only 10,20,40

!

interface GigabitEthernet 0/2    集中转发

 switchport mode acc

switchport acc vlan 10

!

interface GigabitEthernet 0/24

 switchport mode trunk

!

interface VLAN 10

 ip address 192.168.10.254 255.255.255.0

!

interface VLAN 20

 ip address 192.168.20.254 255.255.255.0

!

interface VLAN 30

 ip address 192.168.30.254 255.255.255.0

!

interface VLAN 40

 ip address 192.168.40.254 255.255.255.0

!

ip route 1.1.1.1 255.255.255.255 192.168.30.253

胖ap配置:

透明模式:

no int bvi 1

int G 0/1

no ip add

WEB认证   wlan配置

AP3#show run

Building configuration...

Current configuration: 2007 bytes

version AP_RGOS 11.1(5)B9P5, Release(04230215)

hostname AP3

fair-schedule

!

data-plane wireless-broadcast enable  dhcp不在本机就做这个

web-auth template iportal

 page-suite default

 authentication l   //是个小写L

 accounting iportal_account

 port 1600

!

username admin web-auth password admin

!

aaa new-model   //先做aaa再做web-auth

!

aaa accounting network iportal_account start-stop none

aaa authentication iportal l local

!

spectral

!

enable service web-server http

enable service web-server https

log_mng set up HTTP

log_mng set upd 300

no service password-encryption

!        

link-check disable

!

dot11 wlan 2

 ssid Ruijie-Fat_14

!

nfpp

!

wids

!

wlocation

!

enable secret 5 $1$7eyy$AEz2vv6Fq3zxpw6y

vlan 1

!

vlan 60

!

vlan 100

!

interface GigabitEthernet 0/1

 encapsulation dot1Q 50  瞎写的,写啥都行,写管理ip也可以,不写也行

!

interface GigabitEthernet 0/1.60

 encapsulation dot1Q 60

!

interface GigabitEthernet 0/1.100

 encapsulation dot1Q 100

!        

interface Dot11radio 1/0

sta-limit 15    射频卡最大带点人数15人

 no ampdu-rts

 rate-set 11b mandatory 11

 rate-set 11b disable 1 2 5   关闭低速率接入

 rate-set 11g mandatory 11

 rate-set 11g support 6 9 12 18 24 36 48 54

 rate-set 11g disable 1 2 5   关闭低速率接入

 rate-set 11n mcs-support 15

 country-code CN

 radio-type 802.11b

 antenna receive 3

 antenna transmit 3

 channel 1

 chan-width 20

!

interface Dot11radio 1/0.1   //这个D可以小写d

 encapsulation dot1Q 60

 wlan-id 2

!

interface Dot11radio 2/0

sta-limit 15    射频卡最大带点人数15人

 no ampdu-rts

 rate-set 11a mandatory 12 24

 rate-set 11a support 18 36 48 54

 rate-set 11a disable 6 9    关闭低速率接入

 rate-set 11n mcs-support 15

 rate-set 11ac mcs-support 19

 country-code CN

 no short-preamble

 radio-type 802.11a

 antenna receive 3

 antenna transmit 3

 mu-mimo enable

 11acsupport enable

 channel 149

 chan-width 20

!

interface Dot11radio 2/0.1

 encapsulation dot1Q 60

 wlan-id 2

!

interface BVI 60   用户vlan,写管理也可以,但上联设备需要路由

 ip address 192.14.60.252 255.255.255.0

!

wlansec 2

 web-auth portal iportal

 webauth

!

wlan-qos wlan-based 2 per-user-limit down-streams average-data-rate 800 burst-data-rate 1600   限制速率

!

ip route 0.0.0.0 0.0.0.0 192.14.60.252

!

no offline-detect

!

line console 0

 password admin

line vty 0 4

 privilege level 15

 password admin

!

end

web认证:

在web页面直接输入192.14.60.252:1600   不加端口也行

胖AP NAT路由模式:

AP做路由模式(NAT模式,只有部分AP支持)

步骤1 配置无线用户 Vlan和DHCP服务器(给连接的PC分配地址,NAT模式,无线用户的网关和dhcp都做在AP上。)

Ruijie>enable

Ruijie#configure terminal

Ruijie(config)#vlan 1 ------>创建无线用户vlan

Ruijie(config-vlan)#exit

Ruijie(config)#service dhcp   ------>开启DHCP服务

Ruijie(config)#ip dhcp excluded-address 172.16.1.253 172.16.1.254 ------>不下发地址范围

Ruijie(config)#ip dhcp pool test ------>配置DHCP地址池,名称是test

Ruijie(dhcp-config)#network 172.16.1.0 255.255.255.0 ------>下发172.16.1.0地址段

Ruijie(dhcp-config)#dns-server 218.85.157.99  ------>下发DNS地址

Ruijie(dhcp-config)#default-router 172.16.1.254 ------>下发网关

Ruijie(dhcp-config)#exit

步骤2 创建指定ssid的wlan,在指定无线子接口绑定该wlan以使能发出无线信号

Ruijie(config)#dot11 wlan 1

Ruijie(dot11-wlan-config)#ssid AP  ------>SSID名称为AP

Ruijie(dot11-wlan-config)#exit

Ruijie(config)#interface Dot11radio 1/0.1

Ruijie(config-if-Dot11radio 1/0.1)#encapsulation dot1Q 1 ------>指定AP射频子接口vlan

Ruijie(config-if-Dot11radio 1/0.1)#wlan-id 1 ------>在AP射频子接口使能wlan

Ruijie(config-if-Dot11radio 1/0.1)#exit

Ruijie(config)#interface Dot11radio 2/0.1

Ruijie(config-if-Dot11radio 2/0.1)#encapsulation dot1Q 1 ------>指定AP射频子接口vlan

Ruijie(config-if-Dot11radio 2/0.1)#wlan-id 1 ------>在AP射频子接口使能wlan

Ruijie(config-if-Dot11radio 2/0.1)#exit

步骤3 配置acl允许内网用户做NAT转换出去

       Ruijie(config)#access-list 1 permit any

步骤4 配置AP的以太网接口,指定g0/1口为上联口,在接口上配置公网地址,并设置为outside方向

Ruijie(config)#interface GigabitEthernet 0/1

Ruijie(config-if-GigabitEthernet 0/1)#ip address 100.168.12.200 255.255.255.0

Ruijie(config-if-GigabitEthernet 0/1)#ip nat outside

Ruijie(config-if-GigabitEthernet 0/1)#exit

步骤5 BVI 1配置地址作为内网用户的网关,并且设置为inside方向

Ruijie(config)#interface vlan 1

Ruijie(config-if-BVI 1)#ip address 172.16.2.1 255.255.255.0

Ruijie(config-if-BVI 1)#ip nat inside

Ruijie(config-if-BVI 1)#exit

        步骤6  配置nat转换列表

Ruijie(config)#ip nat inside source list 1 interface GigabitEthernet 0/1 overload

          步骤7  配置默认路由指向出口网关

Ruijie(config)#ip route 0.0.0.0 0.0.0.0 100.168.12.1

Ruijie(config)#end

Ruijie#write   ------>确认配置正确,保存配置

AP3#show run

Building configuration...

Current configuration: 1806 bytes

version AP_RGOS 11.1(5)B9P11, Release(05151211)

hostname AP3

ip access-list standard 1

 10 permit any

!

service dhcp

ip dhcp excluded-address 195.1.60.254

!

ip dhcp pool vl60

 network 195.1.60.0 255.255.255.0

 default-router 195.1.60.254

!

dot11 wlan 4

 ssid Admin-Fat_14

!

vlan 1

!

vlan 60

!

interface GigabitEthernet 0/1

 ip address 10.6.1.2 255.255.255.252

 ip nat outside

!

interface Dot11radio 1/0.1

 encapsulation dot1Q 60

 wlan-id 4

!

interface Dot11radio 2/0.1

 encapsulation dot1Q 60

 wlan-id 4

!

interface BVI 1   //默认的

 ip address 192.168.111.1 255.255.255.0

!

interface BVI 60

 ip address 195.1.60.254 255.255.255.0

 ip nat inside

!

ip nat inside source list 1 interface GigabitEthernet 0/1 overload

!

ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/1 10.6.1.1

!

end

网关:

开启“web认证“vpn功能“sslvpn功能分支易部署后如需使用Telnet管理,需要在系统设置》修改密码页面重新配置一下Telnet密码

ACL:

ip session filte  全局流表(ACL定义)

为整机流表建立判断准则,仅有符合ip session filter调用的ACL的数据,NPE设备才会进行转发,建立流表;

应用场景:当NPE设备遭受的针对流表的攻击时,在明确攻击源的情况下就可以ip session filter过滤攻击源;同时说明:在针对流表的攻击,通过接口调用ACL是无法阻止,因为NPE是先建立流表再匹配ACL;

注意:配置ip session filter时必须保证所有数据流都要包含到,否则会导致应用中断,例如:内网用户上网数据;外网访问端口映射的数据等;

NAT:

记得在NAT中拒绝掉ipsec的acl

单出口napt:

interface GigabitEthernet 0/2

ip nat inside

!

interface GigabitEthernet 0/4

ip nat outside

ip nat inside source list 102 interface GigabitEthernet 0/4 overload

多出口napt:

记得做多条静态路由指向多个端口,其他都一样,在配置公网地址池时

当有多个公网出口时,从不同出口转发数据包,需要nat成对应出口的可用公网地址。我司设备是使用nat地址池下的 match interface 参数来匹配数据包的出接口,把数据包源地址nat成该出接口可用的公网地址。

R1(config)#ip nat pool nat_ruijie netmask 255.255.255.0     //配置nat公网地址池 nat_ruijie

R1(config-ipnat-pool)#address 192.168.2.10 192.168.2.11 match interface GigabitEthernet 0/1   //当数据包从GigabitEthernet 0/1口转发出去时,nat成地址 192.168.2.10 - 192.168.2.11

R1(config-ipnat-pool)#address 192.168.3.10 192.168.3.11 match interface GigabitEthernet 0/2    //当数据包从GigabitEthernet 0/2口转发出去时,nat成地址 192.168.3.10 - 192.168.3.11

R1(config)#ip nat inside source list 10 pool nat_ruijie overload  //acl 10匹配的流量转换成 nat_ruijie 地址池的地址并做nat重载

也可以

ip nat pool nat_pool prefix-length 24

address interface gigabitEthernet 0/4 match int g0/4

只添加一个接口的池

端口映射:

内网192.168  外网100.1

1、基于ip地址的一对一映射

R1(config)#ip nat outside source static 202.164.0.1 192.168.10.1       //当内网访问192.168.10.1时,将目的ip地址转换成 202.164.0.1

2、基于TCP、UDP协议的端口映射

R1(config)#ip nat outside source static tcp 202.164.0.1 23 192.168.10.1 23     //当内网访问192.168.10.1 的tcp 23端口时,将目的ip地址转换成 202.164.0.1 的23端口

也可以

ip nat inside source static tcp 192.168.10.1 1720 202.164.0.1 1720 

将内网192.168.10.1的1720端口转换到202.164.0.1的1720端口,当数据来后自动反转换

端口模式:

web:

修改路径:网络配置-接口配置-接口模式转换修改,可以内外网口的互相转换,修改时设备需要重启,建议避开业务高峰期配置;

命令行:

您可以通过convert port num to {wan |lan}这条命令将指定的接口,转换成对应的wan口或者lan口,通过

no convert port num将指定的三层口转换为二层口

EG2000F、EG2000K可以二层接口和三层接口之间的转换(用于启用端口)

配置命令:convert port 2 to lan 转换为三层内网口

          convert port 2 to wan  转换为三层外网口

        wr 保存后重启设备

配置命令:specify interface gigabitEthernet 0/1 lan 转换为内网口     用于转换接口类型(lan/wan)

          specify interface gigabitEthernet 0/1 wan 转换为外网口

          wr 保存后重启设备

负载均衡:

通过show interfaece查看两个接口的流量分布,如果是与带宽成正比,说明配置效果达到

基本配置(开启基于源IP的哈希选路)

Ruijie# configure terminal  

#配置开启mllb功能

Ruijie(config)#mllb enable

# 配置负载均衡策略为bandwidth

Ruijie(config)#mllb policy bandwidth

# 配置mllb基于源IP哈希

Ruijie(config)#mllb load-sharing original

# 配置ref基于源IP哈希

Ruijie(config)#ip ref load-sharing original-only

  1. 数据中心与分公司用户数据流匹配EG内置联通与教育地址库,实现访问联通资源走联通线路,访问教育资源走教育线路;

  #在gi0/1口配置联通地址库

Ruijie(config)# route-auto-choose cnc GigabitEthernet 0/1 202.101.98.55 (下一跳地址必须写)

    #在gi0/2口配置教育地址库

Ruijie(config)# route-auto-choose cernet GigabitEthernet 0/2 192.168.1.100

  1. 除联通、教育资源之外默认所有数据流在联通与教育线路间进行负载转发;

  2配置默认路由    开启了负载均衡就会自动对出口平均负载,show interfaece查看两个接口的流量分布

#配置默认路由指向出口下一跳

Ruijie(config)# ip route 0.0.0.0 0.0.0.0 Gi0/1 202.101.98.54    联通

Ruijie(config)# ip route 0.0.0.0 0.0.0.0 Gi0/2 202.101.98.55  电信

  1. 每天晚上6点到10点联通线路上网流量压力较大,将P2P应用软件流量在此时间段内引流到教育网线路。

#时间表

time-range lll

 periodic Daily 18:00 to 22:00

#开启应用路由

servctl service app_route on 

#应用路由

app route enable  开启

app route priority-num 10 P2P应用软件 interface GigabitEthernet 0/4 time-range lll(any)

          优先级可以不要    应用名称             端口                时间

杂项:

vpn排查方法:

show crypto isakmp sa
show crypto ipsec sa
debug crypto isakmp
debug crypto ipsec

清除debug是:no debug all

动态隧道主模式和反注入的区别:

动态隧道主模式官方有文档【RSR】RSR如何配置使用动态隧道(主模式)的IPSEC

两者的区别跟简单:

动态隧道主模式

反注入vpn

不需要

需要在动态ipsec加密图中添加反注入命令reverse-route

需要在总部路由器和各分支路由器都需要配置静态路由,将对方的内网地址指向出口

总部路由器不需要做静态路由将分支内网地址指向出口,但分支需要。

需要自己手动配置

分支向总部发出请求,总部会自动将其路径加入到路由表中

总部不需要配置感兴趣流,分部都需要配置感兴趣流,可以我方内网到对方内网匹配,也可以本地主机host对目的主机host

猜想:

策略路由:用route-map匹配acl或者前缀列表来指定下一跳反向

路由策略:用route-map匹配acl或者前缀列表修改路由优先级改变下一跳方向

策略路由是装在端口上的,路由策略是装在重分发上的文章来源地址https://www.toymoban.com/news/detail-526100.html

到了这里,关于锐捷交换机,路由器,无线,ESS,EG所有操作配置命令合集的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 路由器如何做交换机使用 路由器当交换机用设置方法

    管理网络的朋友可能经常会遇到这样的情况,只有两台路由器,但网线只有一根,那么实现多台电脑同时上网就需要交换机,那么多余的一台路由器可以做交换机用吗?答案是肯定的,不过需要对路由器进行一定设置。最近笔者公司就出现这种情况要新增电脑,但没有交换机

    2024年02月05日
    浏览(55)
  • 路由器可以做交换机使用 路由器当交换机用设置方法步骤

    管理网络的朋友可能经常会遇到这样的情况,只有两台路由器,但网线只有一根,那么实现多台电脑同时上网就需要交换机,那么多余的一台路由器可以做交换机用吗?答案是肯定的,不过需要对路由器进行一定设置。最近笔者公司就出现这种情况要新增电脑,但没有交换机

    2024年02月05日
    浏览(53)
  • 交换机和路由器

    交换机只有交换的功能,用于组建局域网 路由器用来连接外网(局域网和互联网相连接),路由器也叫网关 也就是说路由器是用来连接两个子网,交换机是用来连接一个子网内不同的计算机  路由器是基于ip寻址,交换机是基于mac地址寻址 路由器是在网络层,转发的是分组

    2024年02月09日
    浏览(46)
  • 路由器&交换机:配置命令

    ( 红色字体为重点命令) 第一节 用户模式 特权模式 全局模式 接口模式 命令 回车 Enable 简写 en Config terminal 简写 conf t Interface fastethernet0/1 简写 int f 端口号 交换机格式 Switch Switch# Switch(config)# Switch(config-if)# 路由器格式 Router Switch# Router(config)# Router(config-if)# 1. 非本层命令,要想

    2023年04月10日
    浏览(54)
  • 思科路由器交换机培训教程

    实训一 Telnet远程登录配置(S1) 实训二 运用VLAN技术实现子网隔离 实训三 运用三层交换机实现不同VLAN间的通信 实训四 链路冗余(交换机之间存在两条以上链路) 实训五 路由器Telnet远程登录配置 实训六  单臂路由配置(实现不同VLAN间的通信) 实训七  静态路由的配置 实

    2024年02月09日
    浏览(59)
  • DHCP配置(路由器,交换机)

    PC配置DHCP点击应用。 PC配置DHCP点击应用。 以全局地址池为例

    2024年01月21日
    浏览(59)
  • 交换机 路由器的常见指令

    交换机和路由器是网络中最常见的设备之一,它们都有一些常用的指令。下面是它们的常用指令和解释: 交换机常用指令 show interfaces:显示交换机上的所有接口信息,包括状态、速率、错误信息等。 show mac-address-table:显示交换机的MAC地址表,包括每个MAC地址的端口信息。

    2024年02月11日
    浏览(45)
  • 路由器和交换机的区别

    交换机实现局域网内点对点通信,路由器实现收集发散,相当于一个猎头实现的中介的功能 路由器属于网络层,可以处理TCP/IP协议,通过IP地址寻址;交换机属于中继层,通过MAC地址寻址(列表) 集线器、交换机都是做端口扩展的,就是扩大局域网(通常都是以太网)的接入点,

    2024年02月13日
    浏览(49)
  • 交换机与路由器技术-08-路由器上配置DHCP

    目录 一、在路由器上配置DHCP 1.1 配置DHCP目的 1.2 配置DHCP思路 1.3 实验验证 是客户机可以通过路由器提供的DHCP服务,获取到IP地址 DHCP:动态主机配置协议,主要是为客户机提供TCP/IP参数:IP地址,子网掩码、网关、DNS服务器地址 定义池的名字 ip dhcp pool name 指定分配的网络范

    2024年02月10日
    浏览(45)
  • 交换机与路由器技术-06-路由器转发数据包封装过程

    第一步: 主机A向主机B发送数据,源IP是1.2、源MAC是11-11,目的MAC是22-22( 因为路由器会阻挡广播 ,主机A无法获取到主机B的MAC地址,只能将数据交给自己的网关,所以在这里,主机A在做数据帧封装时,封装的目的MAC是主机A网关的MAC地址22-22) 第二步: 主机将数据交给自己的

    2024年02月12日
    浏览(36)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包