7*24小时值班咨询手机:15101073985(微信同号)   
CCIE
当前位置:网站首页>CCIE
配置S5300交换机方法
发布日期:2019-05-22 11:19:12 发布者:
    1、恢复默认设置 (<Quidway>模式下执行以下命令)

    Reset saved-configuration 提示确认重配置时,按Y键

    Reboot 提示是否保存当前设置信息时按N键,提示重启按Y

    ◆ 使用display current-configuration命令查看当前配置文件。

    ◆ 使用display saved-configuration [ last ]命令配置交换机下次启动时加载的配置文件的内容。

    ◆ 使用display startup命令查看设备启动时使用的文件信息。

    ◆ 使用dir [ /all ] [ filename ]命令查看存储设备中的文件信息。

    附:

    #配置启动时加载的系统文件

    在用户视图下执行命令startup system-software system-file [ slave-board ],配置交换机下次启动时加载的S5300系统软件。系统软件的文件名必须以“。cc”作为扩展名,而且必须存放在Flash的根目录下。

    #配置启动时加载的配置文件

    执行startup saved-configuration configuration-file命令,配置交换机下次启动时加载的配置文件。

    配置文件的文件名必须以。cfg或。zip作为扩展名,而且必须存放在存储设备的根目录下。

    交换机上电时,默认从Flash存储器中读取配置文件进行初始化,因此该配置文件中的配置称为初始配置。如果Flash中尚没有配置文件,则交换机用缺省参数初始化。

    与初始配置相对应,交换机运行过程中正在生效的配置称为当前配置。

    2、创建VlanXXXX,并将21号端口划归此Vlan中(网通光纤接入至此Vlan所在端口),实现与学校网络中心互联。学校管理员应对本楼层业务进行规划,将相关的计算机归于同一个Vlan中。

    System-view

    Vlan XXXX

    Description toZhongxin

    Quit

    Interface vlan XXXX

    Ip address 172.30.30.X 255.255.255.248 (学校网络中心端的路由IP地址)

    Quit

    Interface port g 0/0/21 光纤模块接口

    Port link-type trunk 模式有四:access/dot1q-tunnel/hybrid/trunk

    Port trunk allow-pass vlan XXXX 允许VlanXXXX通过

    Quit

    3、配置路由

    System-view

    Ip route 0.0.0.0 0.0.0.0 172.31.23.X (网络中心端路由IP地址)

    4、建立本校业务子网Vlan

    System-view

    Valn 2 (vlan编号自行规划)

    Description jiaoshi_yuwenzu

    Quit

    Interface vlan 2

    Ip address IP地址 子网掩码 此IP作为该网段上网的网关,通常为。1或。254

    Quit\

    (注:需要将此网段及网关在学校网络中心的核心交换机上做反向路由,否则该网段不能上网)

    Interface range port g0/0/2 to g0/0/6 进多端口 或 interface port g0/0/2 进单端口

    Port link-type access

    Port default vlan 2

    Quit

    5、保存结果

    Save 在常模式下运行

    首次保存需要输入文件名。cfg,以后直接按Y确认

    6、查看结果

    Display current

    Display this

    7、绑定IP、Mac,防止用户私设IP

    System-view

    Arp sattic IP地址 Mac地址 vid Vlan号 interface 端口号

    注:该命令可以在全局、端口、Vlan下执行

    分别对应着不同的应用环境。

    8、配置DHCP功能

    (1)、开启DHCP服务

    system-view

    dhcp enable

    (2)、创建地址池并配置相关属性

    system-view

    ip pool 1

    network 192.168.12.0 mask 255.255.255.0

    dns-list 202.102.152.3

    gateway-list 192.168.12.1

    lease day 7

    static-bind ip-address IP地址 mac-address mac地址

    quit

    注:删除重配静态IP的方法

    <>模式下执行 reset ip pool name 1 all

    进入 IP Pool 1,用Undo static ip IP地址 删除指定IP

    执行static ip IP地址 mac Mac地址 重新绑定

    (3)、配置Vlan中的计算机从全局地址池中获取IP地址

    interface vlan 2

    dhcp select global

    (4)、查看设置结果

    display ip pool

    (5)、验证是否成功

    需要上网的计算机设置自动获取IP地址后,在Cmd命令行输入ipconfig /all查看本机所获取的IP地址。

    (6)、设置IP、Mac绑定

    9、DHCP Snooping

    作用:可以防止1)DHCP Server仿冒者攻击;2)中间与IP/MacSpoofing攻击;3)改变CHADDR值的DoS攻击;4)仿冒DHCP续租报文攻击。

    配置:

    1)配置端口,略

    2)启用DHCP Snooping功能

    Dhcp enable 若已开启此功能,是此处需忽略

    Dhcp snooping enable 全局开启dhcp snooping功能

    Vlan 2

    Dhcp snooping enable 在指定的vlan中开启dhcp snooping功能

    quit

    3)外网网口设置为Trusted模式

    Interface g0/0/21

    Dhcp snooping trusted

    quit

    4)配置某Vlan用户进行报文检查

    Interface g0/0/1

    Dhcp snooping check arp enable

    Dhcp snooping check ip enable

    Dhcp snooping check dhcp-chaddr enable

    Dhcp snooping check dhcp-request enable

    Quit

    5)配置静态绑定表项

    Vlan 2

    Dhcp snooping bind-table static ip-address 教师机IP地址 mac-address 教师机Mac地址 interface g0/0/1

    Quit

    6)配置强制插入Option82选项

    Vlan 2

    Dhcp option82 rebuild enalbe interface g0/0/1

    Quit

    Vlan XXXX

    Dhcp option82 rebuild enable interface g0/0/21

    Quit

    7)启用并配置告警发送

    Interface g0/0/1

    Dhcp snooping alarm arp enable 启用相应的告警功能

    Dhcp snooping alarm arp threshold 10 配置告警阈值

    Dhcp snooping alarm ip enable

    Dhcp snooping alarm ip threshold 10

    Dhcp snooping alarm dhcp-chaddr enable

    Dhcp snooping alarm dhcp-chaddr threshold 10

    Dhcp snooping alarm dhcp-request enable

    Dhcp snooping alarm dhcp-request threshold 10

    Dhcp snooping alarm dhcp-reply enalbe

    Dhcp snooping alarm dhcp-reply threshold 10

    quit

    8)检查配置结果

    Display dhcp snooping bind-table

    Display dhcp option82

    查看是否启dhcp snooping功能

    10、ACL配置示例

    示例A:要求每天11点至13点允许上网,其他时间段禁止上网

    1、定义时间段

    Time-range outnet1 00:01 to 10:59 daily

    Time-range outnet2 13:01 to 23:59 daily

    Time-range onnet 11:00 to 13:00 daily

    2、定义策略

    Acl 5001

    Rule 1 deny time-range outnet1

    Rele 2 deny time-range outnet2

    Rule 1 permit time-range onnet

    3、进入端口,应用策略

    Int g0/0/21

    Acl 5001 inbound

    示例B:限制或允许某个IP段上网

    1、定义策略

    Acl 2001

    rule 1 permit source IP地址 反向掩码

    rule 2 deny source any

    2、应用策略

    Int g0/0/21

    Acl 2001 inboud

微信