身在湖工大:锐捷交换机配置那点事儿

前言

5.1放假没事还是乖乖待实验室吧，这时候出去都是人看人，在实验室和室友搭建一个爱快路由实验玩一玩更有趣。原来从师傅原来文档资料里面找到了门口交换机配置口令，这台交换机所有基本都端口都需要锐捷认证除了师傅原来关闭认证的一个端口。由于这次实验室房间里面和室友需要用爱快做路由器模拟一个类似CMCC的网页计费认证实验，实验室里面有三个端口，一个关闭了锐捷认证，另外两个还开启，这次目的是在师傅不在的情况下关闭另外两个口的锐捷认证(没办法他放假回家了..).

手头上的基本条件:

• S1的配置口令+S2的telnet配置口令，S1，S2都是锐捷接入层交换机
• 上面那个条件应该够了吧

先能登录进去吧

一开始以为能直接登录S1，于是直接telnet xxx.xxx.xxx.xxx,结果被拒绝了后来想想一般都网管型交换机应该都设置了ACL，只允许某个IP或者IP段进行访问。于是小白楊用S2的telnet口令可以登录S2，结果居然登录上去了，一看S2的ACL。居然可以任意电脑登录..让小白楊很是费解.

查看ACL的命令为:

show access-lists

登录进去S2之后再登录S1，在telnet S1发现可以登录进去了，再查查S1的ACL，发现果然交换机管理网段内是可以互相访问的。
然后就算进去了吧，本来想如果S2也不能直接登录，只好先通过拨师傅的PPTP VPN(服务器在网络中心内)，绝对可以登录到任意交换机路由器了，PS:万能的网络中心...

进入以后

查看Vlan

Vlan的操作应该是基本学网络专业的同学必备的吧,可以自己学的的确不好，进去之后，现转换到特权模式,然后查看这台交换机所有接口的vlan情况:

#show vlan

再查看了vlan之后，基本知道小白楊这房间的三个端口都是vlan15的端口，这时候看一下端口的switchportd 的模式，因为原来师傅把一个口改成了trunk模式，看看属于小白楊房间的三个口的模式,当然大部分连接终端的都是access模式

#show interfaces switchport 

然后就是查看特定端口的配置了，发现普通基本配置如下:

#show running-config interface fastEthernet0/33

结果如下

     switchport access vlan 15 (端口模式为access,进来会自动打上vlan15的标签)
     duplex full (全双工)
     arp-check (组播ARP则不学习)
     spanning-tree bpduguard enable (STP防止环路)
     spanning-tree portfast (快速端口，也和STP有关)
     dot1x port-control auto （这行就是认证的命令了去掉就可以关闭端口的锐捷认证了）

去掉 dot1x 锐捷认证

进入之后关闭锐捷认证的方式为，进入的特定端口或者一个范围的端口，然后把 dot1x port-control auto 去掉就可以了

    S1#conf t
    S1(config)#int f0/35 
    S1(config-FastEthernet 0/35)#no dot1x port-control auto 
    S1(config-FastEthernet 0/35)#end
    S1(config)#write

添加ACL 方便管理

在去掉端口认证之后，想想还是添加一条ACL访问控制这样可以直接访问S1了(算留了一个门吧),首先查看S1原来有的ACL访问列表为

#show access-lists (看符号应该知道这个是特权模式,>为一般模式，#为特权模式,(config)#为配置模式)

    10 permit ip 172.24.222.0 0.0.0.255 192.168.0.0 0.0.255.255 
    20 permit ip 172.16.10.0 0.0.0.255 192.168.0.0 0.0.255.255 
    30 permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 
    40 permit ip 10.0.0.0 0.255.255.255 192.168.0.0 0.0.255.255 

上面大概代表了 前者ip为xxx的网段可以访问后者192.168.0.0/24这个网段，一般后面为交换机管理网段。
10.20.30为条目编号，permit为允许，这个可以有deny拒绝。
然后添加一个条目，把服务器的IP地址作为可以直接telnet访问S1

permit ip 172.18.15.254 0.0.0.0 192.168.0.0 0.0.255.255

然后查看，多了一条访问list，这样可以直接访问了哦

    50 permit ip host 172.18.15.254 192.168.0.0 0.0.255.255 

服务器IP绑定端口

由于想让服务器直接独占f0/33端口，所以考虑了端口绑定IP，可以这样做，这样小白楊们就可以只让某IP才能通过这个端口发送数据哦

    switchport port-security (开启端口安全绑定服务)
    switchport port-security binding 172.18.15.254 (绑定IP)
    switchport port-security maximum 1 (端口最大链接数)

小结

这次本来想试一试用端口模式为trunk，但是这样的话电脑端还需要发送数据前自己打上vlan tags,挺麻烦的，如果下次有多个vlan数据需要过去，再试一试看看。