网络 – 第 11 页 – 学海无涯走一路学一路

锐捷网管交换机OSPF v3 NSSA 区域配置举例

一、组网需求
Device A、B、C、D之间通过OSPFv3路由协议互联。
Device A和Device B作为ABR负责OSPFv3区域间路由信息传递，Device D作为ASBR引入了外部静态路由。
为减少Area 2内LSA数量，节约设备性能，Area 2配置成NSSA区域。

二、组网图
NSSA 区域配置组网图

三、配置要点
● 所有设备配置接口配置IPv6。
● 所有设备配置OSPFv3基本功能。
● Device D上配置引入外部静态路由。
● Device B、D上区域2配置成NSSA类型。

四、配置步骤
(1) 所有设备接口配置IPv6，所有设备配置OSPFv3基本功能。

(2) Device D上配置引入外部静态路由。并将区域2配置成NSSA类型。
Device D> enable
Device D# configure terminal
Device D(config)# ipv6 router ospf 1
Device D(config-router)# area 2 nssa
Device D(config-router)# redistribute static

(3) Device B上区域2配置成NSSA类型。
Device B> enable
Device B# configure terminal
Device B(config)# ipv6 router ospf 1
Device B(config-router)# area 2 nssa

五、验证配置结果
(1) 在Device D上使用show ipv6 ospf database查看数据库，有生成7类LSA。
Device D# show ipv6 ospf database nssa-external

(2) 在Device A上使用show ipv6 route ospf查看路由表，有D引入的外部静态路由。
Device A# show ipv6 route osp

六、配置文件
●Device B的配置文件。
!
ipv6 router ospf 1
area 2 nssa
!
● Device D的配置文件。
!
ipv6 router ospf 1
area 2 nssa
redistribute static
!

七、常见错误
●同一区域中的设备，区域类型配置不一致。

锐捷网管交换机OSPF v3 Stub区域配置举例

一、组网需求
Device A、B、C、D之间通过OSPFv3路由协议互联。
Device A和Device B作为ABR负责OSPFv3区域间路由信息传递，Device D作为ASBR引入了外部静态路由。
为减少Area 1内LSA数量，节约设备性能，Area 1配置成Totally Stub区域。

二、组网图
Stub 区域配置组网图

三、配置要点
●所有设备接口配置IPv6。
● 所有设备配置OSPFv3基本功能。
● Device D上配置引入外部静态路由。
● Device A、C上区域1配置成Stub类型。

四、配置步骤
(1) 所有设备配置接口配置IPv6，所有设备配置OSPFv3基本功能。

(2) Device D上配置引入外部静态路由。
Device D> enable
Device D# configure terminal
Device D(config)# ipv6 router ospf 1
Device D(config-router)# redistribute static

(3) Device A上区域1配置成Stub类型，并过滤Type 3 LSA。
Device A> enable
Device A# configure terminal
Device A(config)# ipv6 router ospf 1
Device A(config-router)# area 1 stub no-summary

(4) Device C上区域1配置成Stub类型。
Device C> enable
Device C# configure terminal
Device C(config)# ipv6 router ospf 1
Device C(config-router)# area 1 stub

五、验证配置结果
在Device C上使用show ipv6 route ospf查看路由表，只有一条默认区间路由，没有D引入的外部静态路由。
Device C# show ipv6 route ospf

六、配置文件
● Device A的配置文件。
!
ipv6 router ospf 1
area 1 stub no-summary
!
● Device C的配置文件。
!
ipv6 router ospf 1
area 1 stub
!
● Device D的配置文件。
!
ipv6 router ospf 1
redistribute static
!

七、常见错误
● 同一区域中的设备，区域类型配置不一致。
●在Stub区域中配置路由重分布，将无法加入外部路由。

锐捷网管交换机OSPF v3 基本功能配置举例

一、组网需求
所有的设备都运行OSPFv3，一共划分3个区域，Device A和Device B作为ABR转发区域间路由，以此实现所有网
络的互联互通。

二、组网图
OSPFv3 基本功能组网图

三、配置要点
●在所有设备上配置接口IP地址。
● 在所有设备上启动IPv4单播路由功能（该功能默认已开启）。
●在所有设备上配置OSPFv3实例、Router ID。
●在所有设备接口上配置OSPFv3。

四、配置步骤
(1) 在设备A上配置。
# 启用OSPFv3进程，配置Router ID。
Device A> enable
Device A# configure terminal
Device A(config)# ipv6 router ospf 1
Device A(config-router)# router-id 1.1.1.1
Device A(config-router)# exit

# 配置接口IP，并在接口上配置OSPFv3。
Device A(config)# interface gigabitethernet 0/1
Device A(config-if-GigabitEthernet 0/1)# ipv6 enable
Device A(config-if-GigabitEthernet 0/1)# ipv6 address 2001:1::1/64
Device A(config-if-GigabitEthernet 0/1)# ipv6 ospf 1 area 0
Device A(config-if-GigabitEthernet 0/1)# exit
Device A(config)# interface gigabitethernet 0/2
Device A(config-if-GigabitEthernet 0/2)# ipv6 enable
Device A(config-if-GigabitEthernet 0/2)# ipv6 address 2001:2::1/64
Device A(config-if-GigabitEthernet 0/2)# ipv6 ospf 1 area 1
Device A(config-if-GigabitEthernet 0/2)# exit

(2) 在设备B上配置。
# 启用OSPFv3进程，配置Router ID。
Device B> enable
Device B# configure terminal
Device B(config)# ipv6 router ospf 1
Device B(config-router)# router-id 2.2.2.2
Device B(config-router)# exit

# 配置接口IP，并在接口上配置OSPFv3。
Device B(config)# interface gigabitethernet 0/1
Device B(config-if-GigabitEthernet 0/1)# ipv6 enable
Device B(config-if-GigabitEthernet 0/1)# ipv6 address 2001:1::2/64
Device B(config-if-GigabitEthernet 0/1)# ipv6 ospf 1 area 0
Device B(config-if-GigabitEthernet 0/1)# exit
Device B(config)# interface gigabitethernet 0/2
Device B(config-if-GigabitEthernet 0/2)# ipv6 enable
Device B(config-if-GigabitEthernet 0/2)# ipv6 address 2001:3::1/64
Device B(config-if-GigabitEthernet 0/2)# ipv6 ospf 1 area 2
Device B(config-if-GigabitEthernet 0/2)# exit

(3) 在设备C上配置。
# 启用OSPFv3进程，配置Router ID。
Device C> enable
Device C# configure terminal
Device C(config)# ipv6 router ospf 1
Device C(config-router)# router-id 3.3.3.3
Device C(config-router)# exit

# 配置接口IP，并在接口上配置OSPFv3。
Device C(config)# interface gigabitethernet 0/3
Device C(config-if-GigabitEthernet 0/3)# ipv6 enable
Device C(config-if-GigabitEthernet 0/3)# ipv6 address 2001:2::2/64
Device C(config-if-GigabitEthernet 0/3)# ipv6 ospf 1 area 1
Device C(config-if-GigabitEthernet 0/3)# exit

(4) 在设备D上配置。
# 启用OSPFv3进程，配置Router ID。
Device D> enable
Device D# configure terminal
Device D(config)# ipv6 router ospf 1
Device D(config-router)# router-id 4.4.4.4
Device D(config-router)# exit

# 配置接口IP，并在接口上配置OSPFv3。
Device D(config)# interface gigabitethernet 0/3
Device D(config-if-GigabitEthernet 0/3)# ipv6 enable
Device D(config-if-GigabitEthernet 0/3)# ipv6 address 2001:3::2/64
Device D(config-if-GigabitEthernet 0/3)# ipv6 ospf 1 area 2
Device D(config-if-GigabitEthernet 0/3)# exit

五、验证配置结果
(1) 在Device A上查看。
# OSPFv3邻居信息。
Device A# show ipv6 ospf neighbor

# OSPFv3路由表。
Device A# show ipv6 route ospf

(2) 在设备B上查看。
# OSPFv3邻居信息。

# OSPFv3路由表。
Device B# show ipv6 route ospf

(3) 在设备C上查看。
# OSPFv3邻居信息。
Device C# show ipv6 ospf neighbor

# OSPFv3路由表。
Device C# show ipv6 route ospf

(4) 在设备D上查看。
# OSPFv3邻居信息。
Device D# show ipv6 ospf neighbor

# OSPFv3路由表。
Device D# show ipv6 route ospf

# Device D上ping 2001:2::2/64正确。
Device D# ping 2001:2::2

六、配置文件
● Device A的配置文件。
!
ipv6 router ospf 1
router-id 1.1.1.1
!
interface gigabitethernet 0/1
ipv6 enable
ipv6 address 2001:1::1/64
ipv6 ospf 1 area 0
!
interface gigabitethernet 0/2
ipv6 enable
ipv6 address 2001:2::1/64
ipv6 ospf 1 area 1
!

● Device B的配置文件。
!
ipv6 router ospf 1
router-id 2.2.2.2
!
interface gigabitethernet 0/1
ipv6 enable
ipv6 address 2001:1::2/64
ipv6 ospf 1 area 0
!
interface gigabitethernet 0/2
ipv6 enable
ipv6 address 2001:3::1/64
ipv6 ospf 1 area 2
!

● Device C的配置文件。
!
ipv6 router ospf 1
router-id 3.3.3.3
!
interface gigabitethernet 0/3
ipv6 enable
ipv6 address 2001:2::2/64
ipv6 ospf 1 area 1
!

● Device D的配置文件。
!
ipv6 router ospf 1
router-id 4.4.4.4
!
interface gigabitethernet 0/3
ipv6 enable
ipv6 address 2001:3::2/64
ipv6 ospf 1 area 2
!

七、常见错误
● 接口没有配置IPv6。
● IPv6单播路由功能被关闭，OSPFv3协议无法启用。
● 相连接口配置的区域号不一致。
● 多台设备上配置了相同的Router ID，导致Router ID冲突。

锐捷网管交换机web认证配置—–二代 Web 认证功能配置举例

一、组网需求
设备作为网络接入服务端，对于接入网络的用户开启二代Web认证，用户需要使用合法的账号密码认证通过后才
可访问网络。

二、组网图
一代 Web 认证功能组网图

三、配置要点
● 配置Portal服务器以支持二代Web认证功能。
●配置RADIUS服务器以支持二代Web认证功能。
● 在设备上开启AAA安全服务。
● 配置RADIUS服务器的IP和通信密钥。
● 配置AAA的Web认证默认方法列表和默认网络记账方法列表。
● 配置与Portal服务器通信的密钥。
● 配置二代Web认证模板。
●在设备的端口上开启二代Web认证服务。

四、配置步骤
(1) 配置Portal服务器和RADIUS服务器以支持二代Web认证。

(2) 配置二代Web认证模板，指定Portal服务器IP地址为192.168.1.3，重定向页面为
http://192.168.1.3/eportal/index.jsp。
Device> enable
Device# configure terminal
Device(config)# web-auth template eportalv2
Device(config.tmplt.eportalv2)# ip 192.168.1.3
Device(config.tmplt.eportalv2)# url http://192.168.1.3/eportal/index.jsp
Device(config.tmplt.eportalv2)# exit

(3) 配置设备与Portal服务器的通信密钥为key_1（密钥需要与Portal服务器上的配置相同）。
Device(config)# web-auth portal key key_1

(4) 配置RADIUS服务器的IP和通信密钥。
Device(config)# radius-server host 192.168.1.4 key radiuskey

(5) 开启AAA安全服务。
Device(config)# aaa new-model

(6) 配置AAA的Web认证默认方法列表和默认网络记账方法列表。
Device(config)# aaa authentication web-auth default group radius
Device(config)# aaa accounting network default start-stop group radius

(7) 在接口GigabitEthernet 0/2和GigabitEthernet 0/3上开启二代Web认证。
Device(config)# interface range gigabitEthernet 0/2-3
Device(config-if-range)# web-auth enable eportalv2

五、验证配置结果
#查看二代Web认证在GigabitEthernet 0/2和GigabitEthernet 0/3已生效。

# 查看二代认证模板参数配置正确。

# 在设备GigabitEthernet 0/2和GigabitEthernet 0/3端口下的终端访问任意网页，会被重定向到
http://192.168.1.3/eportal/index.jsp进行身份认证。身份认证通过后，终端才可以访问网络。

六、配置文件
!
web-auth template eportalv2
ip 192.168.1.3
url 192.168.1.3/eportal/index.jsp
!
web-auth portal key key_1
!
aaa new-model
!
aaa accounting network default start-stop group radius
aaa authentication web-auth default group radius
!
radius-server host 172.26.147.194 key 7 $10$3ed$f/3upXnVEhd9$
!
interface GigabitEthernet 0/2
web-auth enable eportalv2
!
interface GigabitEthernet 0/3
web-auth enable eportalv2
！

七、常见错误
●Portal服务器和设备间的密钥配置错误，或者有一方配置了加密，一方未配置导致认证异常。
●RADIUS服务器和设备间参数配置不正确导致认证异常。
● Portal服务器不支持中移动Portal协议规范导致无法对接。

锐捷网管交换机web认证配置—–一代 Web 认证功能配置举例

一、组网需求
设备作为网络接入服务端，对于特定端口下的接入用户开启一代Web认证，端口下的用户需要使用合法的账号密
码认证通过后才可访问网络。

二、组网图
一代 Web 认证功能组网图

三、配置要点
● 配置Portal服务器以支持一代Web认证功能。
●配置RADIUS服务器以支持一代Web认证功能。
● 配置一代Web认证模板，指定Portal服务器IP地址、重定向页面等参数。
● 配置设备与Portal服务器的通信密钥。
● 配置设备与Portal服务器之间的SNMP参数。
●在设备的端口上开启一代Web认证服务。。

四、配置步骤
(1) 配置Portal服务器和RADIUS服务器以支持一代Web认证。

(2) 配置一代Web认证模板，指定Portal服务器IP地址为192.168.1.3，重定向页面为
http://192.168.1.3/eportal/index.jsp。
Device> enable
Device# configure terminal
Device(config)# web-auth template eportalv1
Device(config.tmplt.eportalv1)# ip 192.168.1.3
Device(config.tmplt.eportalv1)# url http://192.168.1.3/eportal/index.jsp
Device(config.tmplt.eportalv1)# exit

(3) 配置设备与Portal服务器的通信密钥为key_1（密钥需要与Portal服务器上的配置相同）。
Device(config)# web-auth portal key key_1

(4) 开启SNMPv2功能。
Device(config)# enable service snmp-agent
Device(config)# snmp-server enable version v2c

(5) 配置SNMP团体字community_1和SNMP trap/inform通告。SNMP服务器地址为Portal服务器地址。
Device(config)# snmp-server community community_1 rw
Device(config)# snmp-server host 192.168.1.3 inform version 2c community_1 web-auth
Device(config)# snmp-server enable traps web-auth

(6) 在接口GigabitEthernet 0/2和GigabitEthernet 0/3上开启一代Web认证。
Device(config)# interface range gigabitEthernet 0/2-3
Device(config-if-range)# web-auth enable eportalv1

五、验证配置结果
# 查看一代Web认证在GigabitEthernet 0/2和GigabitEthernet 0/3已生效。

# 查看一代Web认证模板参数配置正确。

# 在设备GigabitEthernet 0/2和GigabitEthernet 0/3端口下的终端访问任意网页，会被重定向到
http://192.168.1.3/eportal/index.jsp进行身份认证。身份认证通过后，终端才可以访问网络。

六、配置文件
!
web-auth template eportalv1
ip 192.168.1.3
url 192.168.1.3/eportal/index.jsp
!
web-auth portal key key_1
!
enable service snmp-agent
!
snmp-server host 192.168.1.3 informs version 2c 7 $10$255$lxTDxZBSy7ToI2s=$ web-auth
snmp-server enable traps web-auth
snmp-server enable version v2c
snmp-server community 7 $10$255$lxTDxZBSy7ToI2s=$ rw
!
interface GigabitEthernet 0/2
web-auth enable eportalv1
!
interface GigabitEthernet 0/3
web-auth enable eportalv1
！

七、常见错误
● Portal服务器和设备间的SNMP参数配置不正确导致用户无法认证上线。
● 跨三层部署Web认证，模板中的绑定模式需要选择ip-only-mode。
●和VRRP配合使用时，需要通过snmp-server trap-source ip命令指定VRRP地址，否则Portal服务器无法正
确处理trap报文。

锐捷网管交换机802.1x认证配置—–失败 VLAN 配置举例

一、组网需求
设备端口开启802.1x认证，并配置失败VLAN。若终端802.1x认证失败，允许访问失败VLAN内的网络资源。

二、组网图
802.1x 认证组网图

三、配置要点
● 在端口上开启802.1x认证。
● 配置端口加入失败VLAN。

四、配置步骤
(1) 在端口上开启802.1x基本功能

(2) 配置端口加入失败VLAN，失败VLAN为VLAN 1。
Device> enable
Device# configure terminal
Device(config)# int gigabitEthernet 0/1
Device(config-if-GigabitEthernet 0/1)# dot1x auth-fail vlan 1

五、验证配置结果
# 终端认证前无法访问网络；终端使用错误账号进行认证，认证失败后可以访问失败VLAN的网络资源。

六、配置文件
!
dot1x authentication auth-method
dot1x accounting account-method
!
aaa new-model
!
radius-server host 192.168.1.3 key 7 $10$3b4$ln0s66i8XfEi$
!
aaa accounting network account-method start-stop group radius
aaa authentication dot1x auth-method group radius
!
interface GigabitEthernet 0/1
dot1x port-control auto
dot1x auth-fail vlan 1
!

七、常见错误
认证用户由于非服务器拒绝导致的失败不会进入失败VLAN，例如底层资源不足导致无法安装认证用户引起的失
败。

锐捷网管交换机802.1x认证配置—–Guest VLAN 配置举例

一、组网需求
设备端口开启802.1x认证，并配置Guest VLAN。若该端口下的终端未安装802.1x客户端，则允许该终端访问
Guset VLAN内的网络资源。

二、组网图
802.1x 认证组网图

三、配置要点
● 在端口上开启802.1x认证。
● 受控口上开启VLAN自动跳转功能。
● 配置端口加入Guest VLAN。

四、配置步骤
(1) 在端口上开启802.1x基本功能

(2) 接口上开启VLAN自动跳转功能。
Device> enable
Device# configure terminal
Device(config)# int gigabitEthernet 0/1
Device(config-if-GigabitEthernet 0/1)# dot1x dynamic-vlan enable

(3) 端口加入Guest VLAN，Guset VLAN为VLAN 1。
Device(config-if-GigabitEthernet 0/1)# dot1x guest-vlan 1

五、验证配置结果
# 加入Guest VLAN后，设备会打印如下Log：
%DOT1X-5-TRANS_DEFAULT_TO_GUEST: Transformed interface GigabitEthernet 0/1 from default-vlan 1 to
guest-vlan 1 OK.

# 终端不存在802.1x客户端时，无需认证即可访问VLAN 1内的网络资源，并且只能访问VLAN 1内的网络资源。

七、常见错误
端口收到了EAPOL报文，导致端口未加入Guest VLAN。

锐捷网管交换机802.1x认证配置—–动态 VLAN 自动跳转配置举例

一、组网需求
开启动态VLAN自动跳转功能后，当服务器下发跳转VLAN时，对应的用户就会被加入到跳转的VLAN中进行通
信。

二、组网图
802.1x 认证组网图

三、配置要点
● 在端口上开启802.1x认证。
● 受控口上开启VLAN自动跳转功能。

四、配置步骤
(1) 在端口上开启802.1x基本功能

(2) 接口上开启VLAN自动跳转功能。
Device> enable
Device# configure terminal
Device(config)# int gigabitEthernet 0/1
Device(config-if-GigabitEthernet 0/1)# dot1x dynamic-vlan enable

五、验证配置结果
# RADIUS服务下发VLAN属性，通过show dot1x summary命令可以查看认证通过的用户信息，所属VLAN由
VLAN 2跳转到VLAN 3。

七、常见错误
● 认证服务器未正确设置下发VLAN的RADIUS属性。
● 设备未打开支持下发VLAN属性的RADIUS命令。
● HYBRID口上使用MAC VLAN跳转VLAN时，下发的VLAN是带TAG VLAN。

锐捷网管交换机802.1x认证配置—–服务器失效旁路认证配置举例

一、组网需求
配置服务器失效旁路认证后，当设备上配置的所有RADIUS服务器都不可达的时候，允许新接入的认证用户访问
网络。

二、组网图
802.1x 认证组网图

三、配置要点
● 在端口上开启802.1x认证。
● 配置RADIUS服务器可达性检测。
● 配置服务器失效旁路认证。。

四、配置步骤
(1) 在端口上开启802.1x基本功能

(2) 配置RADIUS服务器可达性检测标准，此处配置服务器不可达的标准为连续超时5次，超时时间为60秒。
Device> enable
Device# configure terminal
Device(config)# radius-server dead-criteria time 60 tries 5

(3) 配置服务器失效旁路认证。
Device(config)# int gigabitEthernet 0/1
Device(config-if-GigabitEthernet 0/1)# dot1x critical

五、验证配置结果
当所有的RADIUS服务器不可达时，终端发起802.1x认证后可直接访问网络，并不会因为服务器不可达而导致认
证失败。

六、配置文件
!
dot1x authentication auth-method
dot1x accounting account-method
!
aaa new-model
!
radius-server host 192.168.1.3 test username testname key 7 $10$3b4$ln0s66i8XfEi$
radius-server dead-criteria time 60 tries 5
!
aaa accounting network account-method start-stop group radius
aaa authentication dot1x auth-method group radius
!
interface GigabitEthernet 0/1
dot1x port-control auto
dot1x critical
!

七、常见错误
● 存在RADIUS服务器未失效。
● 802.1x认证方法列表中除了RADIUS方法，还包含了其他方法。

锐捷网管交换机802.1x认证配置—–多 MAB 认证配置举例

一、组网需求
多MAB认证适用于一个端口下有多个哑终端的场景。配置多MAB认证后，端口下的每个哑终端需要各自认证通过
才可以访问网络。

二、组网图
802.1x 认证组网图

三、配置要点
● 在端口上开启802.1x认证。
● 配置多MAB认证功能。

四、配置步骤
(1) 在端口上开启802.1x基本功能

(2)配置多MAB认证功能。
Device> enable
Device# configure terminal
Device(config)# int gigabitEthernet 0/1
Device(config-if-GigabitEthernet 0/1)# dot1x mac-auth-bypass multi-user

五、验证配置结果
端口下接入哑终端设备A和B。
(1) 若RADIUS服务器上添加终端A的MAC账号，则设备A能正常接入网络，设备B无法接入网络。
(2) 只有RADIUS服务器上同时添加终端A和B的MAC账号时，A和B才都可以正常接入网络。

七、常见错误
服务器上的MAC账号格式不准确。