月度归档： 2023 年 3 月

远程端口镜像：远程端口镜像(RSPAN)是本地端口镜像(SPAN)的扩展，远程端口镜像突破了源端口和目的端口必须在同一台设备上的限制，使源端口和目的端口之间可以跨越多个网络设备。这样网络管理员就可以坐在中心机房通过分析仪观测远端被镜像端口的数据报文

功能简介：

端口镜像：用户可以利用端口镜像(SPAN)提供的功能，将指定端口的报文复制到交换机上另一个连接有网络监测设备的端口，进行网络监控与流量分析。通过SPAN可以监控所有从源端口进入和输出的报文，实现报文快速的，原封不动的“复制”。

端口镜像不会改变镜像报文的任何信息，也不会影响原有报文的正常转发。同时对于源目端口的介质类型没有要求，可以是光口镜像到电口，也可以是电口的流量镜像到光口。对于源目端口的属性没有要求，可以是access口镜像到trunk口，也可以是trunk口镜像到access口。

远程端口镜像：RSPAN 实现的功能是将所有的被镜像报文通过一个特殊的 RSPAN VLAN(称为 Remote VLAN)传递到远端镜像设备的目的端口

一、组网需求

1、网络分析仪可以通过远程镜像监控用户

2、设备之间均能正常交换数据

二、组网拓扑

 

三、配置要点

1、在源设备（本例为 Switch A）、中间设备（本例为 Switch B）、目的设备（本例为 Switch C）上配置 Remote VLAN。

2、在源设备上，配置直连用户的端口（本例为 Gi 0/1）为源端口，与中间设备相连的端口（本例为 Gi 0/2）为输出端口，并配置输出端口可交换功能。

3、在中间设备上，与源设备、目的设备相连的端口（本例为 Gi 0/1 和 Gi 0/2）仅需配置为普通端口。

4、在目的设备上，与中间设备相连的端口（本例为 Gi 0/1）作为源端口，仅需配置为普通端口，与网络分析仪相连的端口（本例为 Gi 0/2）配置为镜像目的端口，并配置镜像目的端口可交换功能。

 

四、配置步骤

第一步，配置 Remote VLAN。

在 Switch A 上创建 VLAN 7，设置为 Remote VLAN。

SwitchA>en

SwitchA#config ter

SwitchA(config)#vlan 7

SwitchA(config-vlan)#remote-span

witchA(config-vlan)#exit

在 Switch B、 C 上配置同上。

 

第二步，配置 RSPAN 源设备

在 Switch A 上，配置端口 Gi 0/2 为 Trunk Port，用于连接 Switch B。

SwitchA(config)#interface gigabitEthernet 0/2

SwitchA(config-if-GigabitEthernet 0/2)#switchport mode trunk

SwitchA(config-if-GigabitEthernet 0/2)#exit

在 Switch A 上，创建 RSPAN Session 1，设置为源设备，并设置端口 Gi 0/1 为源端口，端口 Gi 0/2 为输出端口。

SwitchA(config)#monitor session 1 remote-source

SwitchA(config)#monitor session 1 source interface gigabitEthernet 0/1 both

SwitchA(config)#monitor session 1 destination remote vlan 7 interface gigabitEthernet 0/2 switch

 

第三步，配置 RSPAN 中间设备

在 Switch B 上，配置端口 Gi 0/1 和 Gi 0/2 为 Trunk Port

SwitchB(config)#interface range gigabitEthernet 0/1-2

SwitchB(config-if-range)#switchport mode trunk

 

第四步，配置 RSPAN 目的设备

在 Switch C 上，配置端口 Gi 0/1 为 Trunk Port，用于连接 Switch B 作为源端口。

SwitchC(config)#interface gigabitEthernet 0/1

SwitchC(config-if-GigabitEthernet 0/1)#switchport mode trunk

在 Switch C 上，创建 RSPAN Session，设置为目的设备，并设置端口 Gi 0/2 为镜像目的端口

SwitchC(config)#monitor session 1 remote-destination

SwitchC(config)#monitor session 1 destination remote vlan 7 interface gigabitEthernet 0/2 switch

 

五、功能验证

第一步，查看设备配置信息。

Switch A 的配置

Switch B 的配置

Switch C 的配置

 

第二步，查看设备的 RSPAN 信息

查看 Switch A

查看 Switch C

3、捉包确认流量是否只包含所需的流量

基于流的镜像：适用在进行网络故障排查时，端口的流量太大，如果进行普通的端口镜像将会导致PC性能无法承受，也难以分析，很难捕捉到希望抓取的特定流量报文（比如某个MAC的流量，或者是某个源IP访问某个目的IP的流量），这时可以使用基于流量的镜像功能；或者端口的流量太大，网络中部署的监控服务器，日志审计服务器等无法分析所有的数据，只希望抓取特定的流量报文。

功能简介：

端口镜像：用户可以利用端口镜像(SPAN)提供的功能，将指定端口的报文复制到交换机上另一个连接有网络监测设备的端口，进行网络监控与流量分析。通过SPAN可以监控所有从源端口进入和输出的报文，实现报文快速的，原封不动的“复制”。

端口镜像不会改变镜像报文的任何信息，也不会影响原有报文的正常转发。同时对于源目端口的介质类型没有要求，可以是光口镜像到电口，也可以是电口的流量镜像到光口。对于源目端口的属性没有要求，可以是access口镜像到trunk口，也可以是trunk口镜像到access口。

基于流的镜像：通过ACL定义出感兴趣的流量（比如pppoe报文，某个特定网段的IP报文，tcp 80的http网页流量等），我司交换机ACL功能丰富，支持基于

二层帧类型，MAC地址，IP地址，TCP/UDP端口，甚至是ACL80（报文的前80个字节）等来匹配流量，再由定义好的ACL关联镜像，捕捉到源端口上ACL所

关注的流量，最后镜像到目的端口上，而其他流量不会被镜像。

注：目前交换机支持基于数据流的镜像只能实现RX方向（端口入方向），无法实现TX（端口出方向报文）及Both方向同时监控。

一、组网需求

1、监控服务器能监控192.168.10.0/24网段用户进入核心交换机的流量；

2、监控服务器同时也能监控从核心交换机发送出去到接入交换机的所有流量

二、组网拓扑

三、配置要点

1、在核心交换机上配置ACL，允许用户网段192.168.10.0/24

2、在核心交换机上配置端口镜像功能，将连接接入交换机的端口g0/1口设置为端口镜像的源端口并关联ACL

3、将连接监控服务器的端口g0/24设置为端口镜像的目的端口。

四、配置步骤

核心交换机配置：

Ruijie>en

Ruijie#config ter

Ruijie(config)#ip access-list extended ruijie ——>创建ACL，名称为ruijie

Ruijie(config-ext-nacl)#permit ip 192.168.10.0 0.0.0.255 any

Ruijie(config-ext-nacl)#exit

Ruijie(config)#monitor session 1 source interface gigabitEthernet 0/1 tx ——>监控从g0/1口出去的所有流量

Ruijie(config)#monitor session 1 source interface gigabitEthernet 0/1 rx acl ruijie ——>只监控g0/1口进入交换机的并且只匹配ACL的流量

Ruijie(config)#monitor session 1 destination interface gigabitEthernet 0/24 ——>设置端口镜像目的端口

Ruijie(config)#end

Ruijie#wr

五、功能验证

1、查看端口镜像的状态

2、查看ACL

3、捉包确认流量是否只包含所需的流量

一对多镜像，包含多对多镜像：当需要把一台交换机上面的一个口或者是多个端口的流量，镜像（复制）到交换机上面的某几个端口的时候，就可以考虑采用交换机的一对多镜像功能。注意镜像的源端口可以是多个端口的双向流量（both）一起镜像到目的口，也可以是部分端口的入方向（rx）流量，与部分端口的出方向（tx）流量一起结合起来镜像到某几个目的端口。

一对多镜像，通常在网络中有多台监控服务器（比如数据库操作审计服务器，日志记录服务器，上网行为管理服务器，流量统计或者监控服务器），视频加速

缓存设备（如我司的powercache），或者是他们的任意组合接入到同一台交换机上，需要对同一份数据（通常是上联口，或者是关键服务器端口）进行采集的环境。

另外一个情况需要特别说明下，有些客户场景中原来是单台监控服务器，采用的是普通的一对一镜像，后面又新增了某种运用的服务器，需要采集/镜像

网络中的之前的同一份数据，此时也需要采用一对多镜像功能，由于多对一镜像与一对多镜像配置思路完全不同，所以需要将原来的一对一镜像配置命令删除掉，重新规划采用一对多的配置方法。

功能简介：

端口镜像：用户可以利用端口镜像(SPAN)提供的功能，将指定端口的报文复制到交换机上另一个连接有网络监测设备的端口，进行网络监控与流量分析。通过SPAN可以监控所有从源端口进入和输出的报文，实现报文快速的，原封不动的“复制”。

端口镜像不会改变镜像报文的任何信息，也不会影响原有报文的正常转发。同时对于源端口，目的端口的介质类型没有要求，可以是光口镜像到电口，也可以是电口的流量镜像到光口。对于源端口，目的端口的属性没有要求，可以是access口镜像到trunk口，也可以是trunk口镜像到access口。

注：一对多（多对多)可以将一个端口的流量，镜像到多个目标端口，并非所有的交换机都支持一对多镜像。

提示：对于不支持一对多的设备，可以通过普通RSPAN镜像功能（不使用自环口）将RSPAN目标端口再连接到一台空配置交换机上，划分多个接口到一个VLAN中（RSPAN使用的VLAN中）并关闭所有端口MAC地址学习功能（no mac-address-learning)和端口风暴控制（类似HUB泛洪，由于没有MAC地址学习，报文才会进行泛洪，所以需要关闭风暴控制防止镜像流量太多被抑制而丢弃），从而实现一对多功能。

一、组网需求

g4/1及g4/2下面连接用户，g4/21及g4/22连接两台监控服务器，现在需要实现监控服务器1及监控服务器2都能监控g4/1及g4/2口的数据流

二、组网拓扑

三、配置要点

1）在核心交换机上创建Remote VLAN。

2）指定核心交换机为RSPAN的源设备，配置直连PC1，PC2的端口g4/1及g4/2为镜像源端口；选择一个Down状态（无需手工shutdown）的端口（本例为G 4/23）为镜像输出端口，将该端口加入Remote VLAN，并配置为MAC自环。（这里的down状态的端口不是指手动将接口shutdown，而是这个接口之前没有使用，没有连线）

3）将直连监控服务器1，监控服务器2的G4/21，G4/22端口加入Remote VLAN。

重点说明：

1）需要在交换机上将一个未使用的端口配置成为一个mac自环口，配置为mac自环口后，该端口不插网线或光线，接口会自动UP，并且接口状态灯亮绿色。MAC不能做其他配置，也不要打开此接口的交换功能，否则可能导致监控服务器无法接收到监控数据流（锐捷11.x设备除外，因为锐捷11.x设备是强制要求开启switch字段的，不然配置不成功）

四、配置步骤

交换机配置：

1、在交换机上配置Remote VLAN。建议远程vlan设置为4000以下的vlan ID

在交换机上创建Remote VLAN 100。 ——>这个VLAN需要是在交换机上没有使用的业务VLAN

Ruijie>enable

Ruijie#configure terminal ——>进入全局配置模式

Ruijie(config)#vlan 100

Ruijie(config-vlan)#remote-span

Ruijie(config-vlan)#exit

 

2、配置vlan修剪，节约带宽。

重点说明：

注意：由于RSPAN的镜像目的口启用MAC- loopback功能，会导致流量在remote-vlan中打环，所以需要在所有trunk口上做vlan修剪，限制镜像流量的防洪范围，本例中需要修剪 vlan 100。

先确认不需要接收镜像数据的接口，主要是看交换机的trunk接口，不需要接受vlan 100数据的trunk口要将vlan 100修剪掉，修剪的方式如下：

Ruijie(config)#interface gigabitEthernet 4/10

Ruijie(config-if-GigabitEthernet 4/10)#switchport trunk allowed vlan remove 100 ——>去掉vlan 100

3、配置RSPAN源设备。

在交换机上创建RSPAN Session 1，指定该设备为源设备，并配置端口g4/1及g4/2为源端口（源端口配置任意），镜像双向数据流。

Ruijie(config)#monitor session 1 remote-source—-开启端口镜像

Ruijie(config)#monitor session 1 source interface gigabitEthernet 4/1 both

Ruijie(config)#monitor session 1 source interface gigabitEthernet 4/2 both

指定自环口g4/23为镜像的目的端口

Ruijie(config)#monitor session 1 destination remote vlan 100 interface gigabitEthernet 4/23 switch ——>将流量引入到loopback口，（因为锐捷11.x设备是强制要求开启switch字段的，不然配置不成功），那么需要在自环口关闭mac地址学习功能，并且清除自环口的MAC地址表项，如果没有敲switch关键字则不需要关闭自环口的mac地址学习功能。

Ruijie(config)#interface gigabitEthernet 4/23

Ruijie(config-if-GigabitEthernet 4/23)#switchport access vlan 100

Ruijie(config-if-GigabitEthernet 4/23)#mac-loopback ——>环回口会不要再做其他配置，也不要连接线缆。

Ruijie(config-if-GigabitEthernet 4/23)# no mac-address-learning ——>在自环口关闭mac地址学习功能

Ruijie(config-if-GigabitEthernet 4/23)#end

Ruijie# clear mac-address-table dynamic interface gigabitEthernet 4/23 ——>配置完成后需要清下自环口的mac地址表

4、将监控服务器的端口g4/21及g4/22加入Remote VLAN

配置交换机的端口g4/21和g4/22属于Remote VLAN 100。

Ruijie(config)#interface range gigabitEthernet 4/21-22

Ruijie(config-if-range)#switchport access vlan 100

Ruijie(config-if-range)#end

Ruijie#wr

 

五、功能验证

1、查看端口镜像的状态

2、查看g4/23端口配置及接口状态

 

六、配置脚本

enable

conf t

vlan 100

remote-span

exit

monitor session 1 remote-source

monitor session 1 source interface gigabitEthernet 4/1 both

monitor session 1 source interface gigabitEthernet 4/2 both

monitor session 1 destination remote vlan 100 interface gigabitEthernet 4/23

interface gigabitEthernet 4/23

switchport access vlan 100

mac-loopback (注：配置该命令前，需要将所有的trunk链路将目的镜像vlan裁剪掉)

interface range gigabitEthernet 4/21-22

switchport access vlan 100

 

多对一镜像，包含一对一镜像：当需要把一台交换机上面的一个口或者是多个端口的流量，镜像（复制）到交换机上面的某个端口的时候，就可以考虑采用交换机的多对一镜像功能。注意镜像的源端口可以是多个端口的双向流量（both）一起镜像到目的口，也可以是部分端口的入方向（rx）流量，与部分端口的出方向（tx）流量一起结合起来镜像到某个目的端口，但是目的端口只能一个，也就是监控的服务器或者网络设备只能一台，或者是一个端口与交换机连接。

多对一镜像，通常在网络中有监控服务器（比如数据库操作审计服务器，日志记录服务器，上网行为管理服务器，流量统计或者监控服务器），视频加速缓存设备（如我司的powercache），故障定位时需要采用的抓包分析（如目的端口接的电脑安装有wireshark，sniffer软件）都需要采用端口镜像功能。

虽然多对一镜像的目的口只能一个，也就是服务器只能接一台，但是有一种特别的运用场景需要注意，就是在一些上网行为管理设备会以旁路的方式并接到我们交换上面，该设备做透明模式工作，需要一个端口收数据，一个端口发数据，监控到网络的上下行流量的模型，从而分析出每个上网的流量，行为，所以该设备需要两个端口接到我们的一台交换机上面（标记为A,B两个端口），这个时候就需要交换机的上联口（标记为C）的入方向的数据镜像到A端口，上联口的出方向的数据镜像到B端口，此运用可以在交换机上面创建两个monitor session，比如1,2，然后session 1将C端口的RX方向镜像到A端口，session 2将C端口的TX方向镜像到B端口，从而实现客户需求，组网拓扑参考如下：

 

功能简介：
端口镜像：用户可以利用端口镜像(SPAN)提供的功能，将指定端口的报文复制到交换机上另一个连接有网络监测设备的端口，进行网络监控与流量分析。通过SPAN可以监控所有从源端口进入和输出的报文，实现报文快速的，原封不动的“复制”。

端口镜像不会改变镜像报文的任何信息，也不会影响原有报文的正常转发。同时对于源端口，目的端口的介质类型没有要求，可以是光口镜像到电口，也可以是电口的流量镜像到光口。对于源端口，目的端口的属性没有要求，可以是access口镜像到trunk口，也可以是trunk口镜像到access口。

一、组网需求

配置端口镜像，实现监控服务器能够监控g0/1及g0/2口入方向和出方向的数据流，同时监控服务器依然能够实现对外网网络的访问

二、组网拓扑

三、配置要点

要实现监控服务器即能对外网网络的访问，需要在配置交换机端口镜像的目的端口后面加上switch关键字

四、配置步骤

交换机配置：

Ruijie>enable

Ruijie#configure terminal

Ruijie(config)#monitor session 1 source interface gigabitEthernet 0/1 both ——>指定端口镜像的源端口为g0/1，即被监控端口，交换机可以指定多个源端口。both表示双方向的数据流，如果只需要镜像进入交换机方向的数据流，则将both关键字改为关键字rx，命令就变为了：monitor session 1 source interface gigabitEthernet 0/1 rx。如果只需要镜像从交换机出来方向的流量，则可将both关键字改为tx。

Ruijie(config)#monitor session 1 source interface gigabitEthernet 0/2 both ——>指定端口镜像的源端口g0/2，即被监控端口。交换机可以指定多个源端口。both表示双方向的数据流，如果只需要镜像进入交换机方向的数据流，则将both关键字改为关键字rx，如果只需要镜像从交换机出来方向的流量，则可将both关键字改为tx。

Ruijie(config)#monitor session 1 destination interface gigabitEthernet 0/24 switch ——>指定g0/24口为端口镜像的目的端口，即监控端口。后面加了一个关键字swith，表示目的端口也能够上网，如果不加关键字，那么该端口将不能访问外网。（11.x版本强制要加此关键字）

Ruijie(config)#end

Ruijie#wr

五、功能验证

1、查看端口镜像的状态

2、确认监控服务器是否能够访问外网

注：

对于光电复用的接口，光口和电口的端口标示一致，需要根据实际需求配置使用光口或电口。

 

交换机光电复用口配置

将交换机的23号电口转换为光口

Ruijie>enable

Ruijie#configure terminal

Ruijie(config)#interface gigabitEthernet 0/23

Ruijie(config-if-GigabitEthernet 0/23)#medium-type fiber ——>将电口转换为光口

Ruijie(config-if-GigabitEthernet 0/23)#end

Ruijie#write ——>确认配置正确，保存配置

将交换机的23号光口转换为电口

Ruijie>enable

Ruijie#configure terminal

Ruijie(config)#interface gigabitEthernet 0/23

Ruijie(config-if-GigabitEthernet 0/23)#medium-type copper ——>将光口转换为电口

Ruijie(config-if-GigabitEthernet 0/23)#end

Ruijie#write ——>确认配置正确，保存配置

 

查看配置

1、查看是否更改成功：

Ruijie#show interfaces status

Interface Status Vlan Duplex Speed Type

——————————– ——– —— ——- ——— ——

GigabitEthernet 0/22 down 1 Unknown Unknown copper

GigabitEthernet 0/23 up 1 Full 1000M fiber

GigabitEthernet 0/24 down 1 Unknown Unknown copper

 

2、查看光模块的信息

Ruijie#show interfaces g0/23 transceiver

Transceiver Type : 1000BASE-LX-SFP ——>光模块的型号

Connector Type : LC ——>光模块的接头类型

Wavelength(nm) : 1310 ——>光模块的波长

Transfer Distance : ——>光模块传输距离

SMF fiber

— 10km

50/125 um OM2 fiber

— 550m

62.5/125 um OM1 fiber

— 550m

Digital Diagnostic Monitoring : NO ——>不支持DDM，如果支持DDM，将支持查看光模块的发送光强和接收光强等信息

Vendor Serial Number : LP201093226676 ——>光模块序列号

 

3、查看光模块发送接收光强（这里以一个万兆模块来测试）：

Ruijie#show interfaces tenGigabitEthernet 1/25 transceiver diagnosis

Current diagnostic parameters[AP:Average Power]:

Temp(Celsius) Voltage(V) Bias(mA) RX power(dBm) TX power(dBm)

26(OK) 3.26(OK) 5.22(OK) -3.65(OK)[AP] -2.09(OK)

可以看到发送光强（TX），接收光强（RX）各是多少

 

4、查看光模块的告警信息

Ruijie#show interfaces tenGigabitEthernet 1/25 transceiver alarm ——>查看告警信息，如果只插光模块，没有与对端互联，会显示如下告警。如果光模块运行正常，则显示none

RX power low

RX loss of signal

Module not ready

RX not ready

RX CDR loss of lock

Ruijie#show interfaces tenGigabitEthernet 1/25 transceiver alarm ——>光模块UP后，查看告警信息为无

None

 

注：
一般在接入、汇聚交换机上配风暴控制功能：

1、对于接入交换机，推荐应该在连接用户的端口上配置广播/组播风暴抑制，避免大量广播/组播泛洪，上联口无需配置。

2、对于汇聚交换机在接入交换机不支持风暴控制的前提下，推荐配置风暴控制，但应适当放大连接接入交换机端口的限速粒度，例如可以保持默认的1%带宽限制，上联口无需配置。

3、如果接入交换机已经配置风暴控制，汇聚交换机无需配置。

 

默认1%端口带宽的报文限速有一定抑制作用，但由于接口速率通常为100M/1000M，限速粒度依然偏大。

推荐在实际使用中，使用PPS可以将广播/组播/未知名单播限制的更小，一般接入交换机端口PPS可以选择100-300以内均可。

 

交换机广播风暴配置

将1号口的广播风暴功能开启，并且限制广播风暴的等级为1，即端口带宽的1%，

Ruijie>enable

Ruijie#configure termina

Ruijie(config)#interface gigabitEthernet 1/1 ——>可以使用interface range命令批量对端口设置相同的控制策略。

Ruijie(config-if-GigabitEthernet 1/1)#storm-control broadcast level 1 ——>开启广播风暴抑制，等级为1，即端口带宽的1%，即1G的1%，10M。

Ruijie(config-if-GigabitEthernet 1/1)#storm-control unicast level 1 ——>开启未知名单播风暴抑制（报文目标MAC地址交换机没有学习到，等级为1，即端口带宽的1%，即1G的1%，10M。

Ruijie(config-if-GigabitEthernet 1/1)#storm-control multicast level 1

 

也可以通过PPS来限速，比如限制每S通过的广播报文数量为200PPS，storm-control broadcast pps 200

Ruijie(config-if-GigabitEthernet 1/1)#storm-control broadcast pps 200

Ruijie(config-if-GigabitEthernet 1/1)#storm-control unicast pps 200

Ruijie(config-if-GigabitEthernet 1/1)#storm-control multicast 200

Ruijie(config-if-GigabitEthernet 1/1)#end

 

 

查看配置

Ruijie#show storm-control

Interface Broadcast Control Multicast Control Unicast Control Action

————————- —————– —————– ————— ——–

GigabitEthernet 1/1 1 % 1 % 1 % none

GigabitEthernet 1/2 Disabled Disabled Disabled none

GigabitEthernet 1/3 Disabled Disabled Disabled none

 

注：如果交换机端口配置为TRUNK，默认允许所有本交换机已创建VLAN的报文通过，全网TRUNK互联的情况下，整网的广播组播未知名单播都可能会泛洪到交换机上，导致端口、链路拥塞、大量协议报文（例如ARP）送CPU处理导致设备管理面出现异常（无法管理，CLI响应慢等现象），所以在项目实施中，规范性要求端口务必配置TRUNK裁减，只允许放通的VLAN报文通过。

1. 交换机access口配置

将交换机的10号口配置为access口，并且属于vlan100

Ruijie>enable

Ruijie#config terminal

Ruijie(config)#interface gigabitEthernet 1/10

Ruijie(config-if-GigabitEthernet 1/10)#switchport access vlan 100

Ruijie(config-if-GigabitEthernet 1/10)#end

Ruijie#write

 

说明：

交换机如果没有配置，那么默认所有端口都是access口。如果端口被配置为trunk口，需要改为access口，需要先在接口下敲switchport mode access，否则不生效，例如原来的trunk口配置改为access口，属于access vlan 100，命令如下：

Ruijie#show run interface gigabitEthernet 1/10 ——>查看配置

Building configuration…

Current configuration : 56 bytes

interface GigabitEthernet 1/10

switchport mode trunk

 

Ruijie#configure terminal

Ruijie(config)#interface gigabitEthernet 1/10

Ruijie(config-if-GigabitEthernet 1/10)#switchport mode access ——>设置为access模式

Ruijie(config-if-GigabitEthernet 1/10)#switchport access vlan 100

Ruijie(config-if-GigabitEthernet 1/10)#end

 

查看配置

Ruijie(config-if-GigabitEthernet 1/10)#show vlan

VLAN Name Status Ports

—- ——————————– ——— ———————————–

1 VLAN0001 STATIC Gi1/1, Gi1/2, Gi1/3, Gi1/4

Gi1/5, Gi1/6, Gi1/7, Gi1/8

Gi1/9, Gi1/13, Gi1/14, Gi1/15

Gi1/16, Gi1/17, Gi1/18, Gi1/19

Gi1/20, Gi1/21, Gi1/22, Gi1/23

Gi1/24, Gi1/25, Gi1/26, Gi1/27

Gi1/28, Gi1/29, Gi1/30, Gi1/31

Gi1/32, Gi1/33, Gi1/34, Gi1/35

Gi1/36, Gi1/37, Gi1/38, Gi1/39

Gi1/40, Gi1/41, Gi1/42, Gi1/43

Gi1/44, Te1/45, Te1/46, Te1/47

Te1/48, Gi4/1, Gi4/2, Gi4/3

 

100 VLAN0100 STATIC Gi1/1, Gi1/10, Te1/45, Te1/46

Te1/47

2. 交换机TRUNK口配置

将交换机的45号口配置为trunk口

Ruijie(config)#interface TenGigabitEthernet 1/45

Ruijie(config-if-TenGigabitEthernet 1/45)#switchport mode trunk

Ruijie(config-if-TenGigabitEthernet 1/45)#end

 

查看配置

Ruijie#show interfaces trunk

Interface Native VLAN VLAN lists

——————————– ———– ———————-

TenGigabitEthernet 1/45 1 ALL ——>native vlan是1，ALL表示允许所有的vlan通过

TenGigabitEthernet 1/46 1 ALL

TenGigabitEthernet 1/47 1 ALL

 

3. TRUNK口VLAN裁剪（必配）

交换机的1号口配置为trunk口，并且只允许vlan 5、vlan 10、vlan20-30通过，其余vlan不允许通过

Ruijie#configure terminal

Ruijie(config)#interface gigabitEthernet 1/1

Ruijie(config-if-GigabitEthernet 1/1)#switchport mode trunk

Ruijie(config-if-GigabitEthernet 1/1)#switchport trunk allowed vlan remove 1-4,6-9,11-19,31-4094 ——>交换机默认允许所有本地已创建的vlan通过，如果只需要配置只允许相应vlan通过，需要把不允许通过的vlan给裁剪掉

Ruijie(config-if-GigabitEthernet 1/1)#end

Ruijie#wr

 

配置要点

1、该配置是在已经可以正常telnet、SSH到交换机的前提下配置的；

2、配置AAA，限定登陆失败次数；

3、line下配置超时时间；

 

配置步骤

Ruijie>enable

Ruijie#config terminal

Ruijie(config)#username admin1 password admin1 —–>配置账号和密码

Ruijie(config)#username admin2 password admin2

Ruijie(config)#aaa new-model ——>开启AAA功能

Ruijie(config)#aaa authentication login default local group radius ——>先调用本地交换机配置的用户名密码，如果有radius服务器，可以配置调用radius服务的账号密码

Ruijie(config)#aaa local authentication attempts 3 ——>配置限制用户尝试次数为3次，如果3次输入对了用户名但是输错了密码，将会无法登入交换机

Ruijie(config)#aaa local authentication lockout-time 1 ——>如果无法登入后，需要等待1分钟才能再次尝试登入系统，不同交换机的时间单位可能不同，请根据交换命令后面的时间单位来配置，可以通过lockout-time后面敲?来查看时间单位

Ruijie(config)#line vty 0 4

Ruijie(config-line)#login authentication default ——>vty模式下应用login认证

Ruijie(config-line)#exec-timeout 20 ——–>20分钟不操作交换机，命令行将超时，自动退出，

Ruijie(config-line)#exit

Ruijie(config)#line console 0 ——>该方法对使用console口登录的用户也同样生效

Ruijie(config-line)#login authentication default ——>vty模式下应用login认证

Ruijie(config-line)#exec-timeout 20 ——–>20分钟不操作交换机，命令行将超时，自动退出，交换机默认是10分钟自动退出，这里如果写0，就代表永不超时。

Ruijie(config-line)#exit

Ruijie(config)#exit

Ruijie#write

注：登陆失败锁定，只会锁定某一个账号，不会完全锁定交换机，也就是说，如果交换机有多个账号（admin1、admin2），如果账号admin1登陆失败锁定了，那么admin2还是可以正常登陆的。

 

功能验证

1、我们用console口验证，以上配置完成后，手动退出交换机到如下模式：

 

2、我们尝试用admin1去登陆，故意输入错误的密码：

 

3、这时候我们用其他账号去登陆，可以登陆成功

 

4、登陆成功之后我们等待1分钟（测试时配置的1分钟），等命令行超时自动退出，这时候又要输入账号密码去登陆

 

5、再使用admin1去登陆交换机，可以登陆成功

配置要点
1、该配置是在已经可以正常telnet、SSH到交换机的前提下配置的
2、配置AAA本地认证；
3、配置AAA radius 认证；

配置步骤

1、AAA本地认证

Ruijie>enable

Ruijie#config terminal

Ruijie(config)#username admin1 password admin1 —–>配置本地用户名和密码

Ruijie(config)#username admin2 password admin2

Ruijie(config)#aaa new-model ——>开启AAA功能

Ruijie(config)#aaa authentication login default local ——>先调用本地交换机配置的用户名密码，

Ruijie(config)#line vty 0 4

Ruijie(config-line)#login authentication default ——>vty模式下应用login认证

Ruijie(config-line)#exit

Ruijie(config)#line console 0 ——>该方法对使用console口登录的用户也同样生效 ，请根据实际情况配置，如果配置操作失误，会导致无法登陆交换机，建议line vty的配置使用telnet或者SSH验证成功之后，再到lineconsole下配置

Ruijie(config-line)#login authentication default ——>console模式下应用login认证

Ruijie(config-line)#exit

Ruijie(config)#exit

Ruijie#write

2、AAA radius认证

Ruijie>enable

Ruijie#config terminal

Ruijie(config)#aaa new-model ——>开启AAA功能

Ruijie(config)#aaa authentication login ruijie-1 group radius local none ——>如果有radius服务器，可以配置调用radius服务的账号密码，并且配置radius服务器和秘钥，

//(选配) Ruijie(config)#aaa authentication login ruijie-1 group radius local —–> 如果radius认证失败后通过本地用户名和密码登陆，

//(选配)Ruijie(config)#aaa authentication login ruijie-1 group radius local none—–>如果radius认证失败后通过本地用户名和密码登陆,本地登陆失败后不需要认证

Ruijie(config)#radius-server host 192.168.100.1 key ruijie ——>radius的地址和key根据实际情况修改，保证交换机可以和服务器正常通信的情况下在继续配置

Ruijie(config)#line vty 0 4

Ruijie(config-line)#login authentication ruijie-2 ——>vty模式下应用login认证，调用ruijie-1列表

Ruijie(config-line)#exit

Ruijie(config)#line console 0 ——>该方法对使用console口登录的用户也同样生效，请根据实际情况配置，如果配置操作失误，会导致无法登陆交换机，建议line vty的配置使用telnet或者SSH验证成功之后，再到lineconsole下配置

Ruijie(config-line)#login authentication ruijie-2 ——>console模式下应用login认证，调用ruijie-1列表

Ruijie(config-line)#exit

Ruijie(config)#username admin1 password admin1 —–>配置本地用户名和密码

Ruijie(config)#username admin2 password admin2

Ruijie(config)#exit

Ruijie#write

功能验证

1、使用交换机自己telnet自己的方式来验证，

2、使用账号去登陆，可以登陆成功

重要说明：

1）配置默认网关是二层交换机需要进行远程跨网段管理时的必配功能。

2）对于三层交换机，配置默认网关属于静态路由，当然设备也可以通过动态路由协议来学习网络路由，实现远程管理，关于其他路由协议的配置防范，可参考：IP路由 （配置方式参见 常用功能配置>IP路由）

 

设置交换机的默认网关

二层交换机配置管理IP地址的默认网关

Ruijie>enable

Ruijie#configure terminal

Ruijie(config)#ip default-gateway 192.168.1.254 ——>设置交换机的默认网关为192.168.1.254

Ruijie(config)#end

Ruijie#write ——>确认配置正确，保存配置

 

三层交换机配置交换机的默认网关，即配置交换机的默认路由

Ruijie>enable

Ruijie#configure terminal

Ruijie(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.254 ——>设置交换机的默认网关为192.168.1.254

Ruijie(config)#end

Ruijie#write ——>确认配置正确，保存配置

 

查看配置

二层交换机查看网关配置的命令如下：

Ruijie#show ip redirects

default-gateway: 192.168.1.254

 

三层层交换机查看网关配置的命令如下：

Ruijie#show ip route

Codes: C – connected, S – static, R – RIP, B – BGP

O – OSPF, IA – OSPF inter area

N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2

E1 – OSPF external type 1, E2 – OSPF external type 2

i – IS-IS, su – IS-IS summary, L1 – IS-IS level-1, L2 – IS-IS level-2

ia – IS-IS inter area, * – candidate default

Gateway of last resort is 192.168.1.254 to network 0.0.0.0

S* 0.0.0.0/0 [1/0] via 192.168.1.254