第22章802.1X配置
本章主要讲述了迈普系列路由交换机支持的802.1X功能以及详细的配置信息。
章节主要内容:
●802.1X介绍
●802.1X配置
●802.1X应用举例
●监控与维护
22.1802.1X介绍
22.1.1802.1X简介
802.1X是IEEE在2001年6月提出的宽带接入认证方案,它定义了基于物理端口的网络接入控制协议(Port-Based Network Access Control)。802.1X利用IEEE 802架构局域网的物理访问特性,提供了一套对以点对点方式(point-to-point)连接到局域网端口(Port)上的设备进行认证、授权的方法。
802.1X具有如下特点:
1.方案简洁。80
2.1X 仅仅关注端口的打开与关闭。对于合法用户(根据帐号和密码)接入时该端
口打开,而对于非法用户接入或没有用户接入时,则该端口处于关闭状态。认证的结果在于端口状态的改变,是各种认证技术中最简化的实现方案。
2.802.1X所使用的EAP协议只定义了认证消息的通信方式(the means of communication
authentication information),而没有定义具体的认证机制(authentication mechanism)。因此可以灵活地选择认证机制,(包括:Smart Card、Kerberos、Public Key Encryption、One Time Password等)。
3.IEEE 802.1X协议为二层协议,不需要到达三层。也就是说,客户端系统在认证中,不需IP地
址。认证开始时的EAPOL帧使用01-80-c2-00-00-03作为目的MAC地址,使用发送者的MAC 地址作为源MAC地址。
4.采用纯以太网技术,通过认证之后的数据包不存在封装与解封装的问题,因而效率高,消除了
网络瓶颈。
5.用户通过认证后,业务流和认证流实现分离,对后续的数据包处理没有特殊要求,业务可以很
时,计费方式可以灵活选择,支持根据用户时长的计费方式。
6.802.1X实现了分散的访问控制(由靠近用户并支持802.1X协议的以太网交换机实现)与集中的
认证管理(支持RADIUS和TACACS+服务器),因此整个认证结构比较协调。
22.1.2对标准802.1X的扩展
迈普系列交换机不仅支持标准802.1X协议还对其进行了扩展和优化以适应各种不同的应用需求。
1.支持在一个端口下接入多个用户。标准80
2.1X协议是基于端口实现的,即只要该端口下某一个
用户认证成功后,其他用户无需认证就可以使用网络资源,但是当该用户下线后,其他用户也会被拒绝使用网络。迈普系列交换机支持基于用户的认证(基于MAC地址),当端口配置为基于用户的认证时,该端口下的每个用户都需要单独认证,只有认证成功的用户才能使用网络资源,某个用户下线后,也只有该用户无法使用网络,并不影响其他已认证用户的网络的使用。
2.支持EAP终结。标准802.1X协议规定客户端和认证服务器之间通过EAP报文进行交互,设备
在此交互中充当着“EAP中继”的角色,设备将客户端发送来的EAP数据封装在其他协议中,例如Radius协议,然后发送给认证服务器,同样地,设备也将认证服务器发送过来的EAP数据封装在EAPOL报文中转发给客户端,这种交互方式我们称之为EAP中继。EAP中继要求认证服务器支持EAP协议,否则认证服务器将无法与客户端使用EAP进行交互。考虑到实际应用环境中,部署较早的认证服务器可能并不支持EAP协议,迈普系列交换机对此进行扩展,支持EAP终结方式,客户端的EAP数据不会被直接发送到认证服务器,而是由设备完成与客户端的EAP交互,设备从中提取用户的认证信息然后发送到认证服务器进行认证。
22.1.3Auto Vlan
802.1X用户在服务器上通过认证时,服务器会把授权信息传送给设备端。如果服务器上配置了下发VLAN功能,则授权信息中含有授权下发的VLAN信息,设备会将端口加入到下发VLAN 中。我们称这个下发的VLAN为Auto VLAN。
(1)如果RADIUS server授权信息中没有下发VLAN信息,那么认证成功之后,端口的VLAN属性保持不变。
(2)如果RADIUS server授权信息中含有下发VLAN信息,那么认证成功之后,判断这个下发的Auto VLAN是否存在,如果存在的话,将端口以untag方式加入到这个Auto VLAN,并且端口的缺省VID为Auto VLAN的VID;如果Auto VLAN不存在的话,这个端口的VLAN属性保持不变,认证失败。
(3)用户下线之后,端口恢复为“未认证”状态,端口从这个Auto VLAN中删除,端口的缺省
授权下发的Auto VLAN并不改变端口的配置,也不影响端口的配置。但是,授权下发的Auto VLAN 的优先级高于用户配置的VLAN(即Config VLAN),即通过认证后起作用的VLAN是授权下发的Auto VLAN,用户配置的Config VLAN在用户下线后生效。
VLAN下发特性所关联的三个Radius属性为:
– [64] Tunnel-Type = VLAN
– [65] Tunnel-Medium-Type = 802
– [81] Tunnel-Private-Group-ID = VLAN ID
注:
1、auto vlan不能应用到动态vlan上,比如auto vlan所指定的vlan id是由gvrp自动创建的vlan,那802.1x用户将会认证失败。
2、为保证各种功能可以正常使用,请为voice vlan、private vlan以及802.1X的auto vlan等分配不同的vlan id。
22.1.4Guest Vlan
Guest VLAN功能用来允许未认证用户访问某些特定资源。用户认证端口在通过802.1X认证之前属于一个缺省VLAN(即Guest VLAN),用户访问该VLAN内的资源不需要认证,但此时不能够访问其他网络资源;认证成功后,端口离开Guest VLAN,用户可以访问其他的网络资源。
用户在Guest VLAN 中可以获取802.1X客户端软件,升级客户端,或执行其他一些应用升级程序(例如防病毒软件、操作系统补丁程序等)。端口上配置Guest Vlan成功后,设备会把该端口加入到Guest VLAN。
开启802.1X特性并正确配置Guest VLAN后,该端口将以untagged方式加入到Guest VLAN内。此时Guest VLAN中端口下的用户发起认证,如果认证失败,该端口将会仍然处在Guest VLAN内;如果认证成功,分为以下两种情况:
(1)如果认证服务器下发一个VLAN,这时端口离开Guest VLAN,加入下发的VLAN中。用户下线后,端口会回到Guest VLAN 中。
(2)如果认证服务器不下发VLAN,这时端口离开Guest VLAN,加入Config VLAN 中。用户下线后,端口加入到Guest VLAN 中。
注:
端口的guest vlan不能应用到动态vlan上,比如guest vlan所指定的vlan id是由gvrp 自动创建的vlan,那guest vlan可以配置成功,但不会生效。
22.2802.1X配置
本节主要内容:
●802.1X配置命令基本描述
●802.1X启用与关闭
●配置802.1X端口最大用户数
●配置802.1X组播触发
●配置802.1X EAP中继/终结
●配置802.1X Guest Vlan
●配置802.1X端口认证模式
●配置802.1X重认证
●配置802.1X EAPOL报文透传
●配置802.1X定时器参数
22.2.1基本指令描述
dot1x port-control
该命令在端口启用或者关闭802.1X功能。该命令的no形式也可关闭802.1X功能。dot1x port-control {enable|disable}
no dot1x port-control enable
【缺省情况】disable
注:
1、如果端口上启用了MAC认证(dot1x mac-authentication enable)功能,则该功能不能
启用。
2、是否支持MAC认证功能视不同的产品型号而定:RM1800-21-AC、RM1800-22-AC、RM1800-23-AC
这些型号不支持。
?dot1x port-method
该命令配置端口802.1X的认证模式,基于端口认证模式或者基于用户认证模式。该命令的no形式也可将认证模式配置成缺省值。
dot1x port-method {portbased|macbased}
no dot1x port-method
【缺省情况】macbased
注:
1、基于端口的认证模式时,端口最大用户数不生效。基于用户的认证模式时,端口最大用户数
缺省值为256。
2、是否支持该命令视不同的产品型号而定:RM1800-21-AC、RM1800-22-AC、RM1800-23-AC这些
型号不支持。
?dot1x port-control max-user-num
该命令设置端口的最大用户数。该命令的no形式设置端口的最大用户数为缺省值。
dot1x port-control max-user-num {1-4096}
no dot1x port-control max-user-num
【缺省情况】256
1、该命令只在基于用户的认证(macbased)模式下有效,基于端口的认证(portbased)模
式下,该配置不生效。
2、是否支持该命令视不同的产品型号而定:RM1800-21-AC、RM1800-22-AC、RM1800-23-AC这些
型号不支持。
?dot1x multicast-trigger
该命令开启端口组播触发功能,使用相关的no命令关闭端口组播触发功能。
dot1x multicast-trigger
no dot1x multicast-trigger
【缺省情况】关闭
?dot1x multicast-period
该命令配置端口组播报文的发送周期。该命令的no形式设置组播报文的发送周期为缺省值。
dot1x multicast-period {5-3600}
no dot1x multicast-period
【缺省情况】15(秒)
注:
在与有些客户端配合(如symantec)时,开启该功能,客户端的网卡显示会不正常。同时,可能会造成重认证失败。
?dot1x eap-relay
该命令配置端口的EAP模式,EAP中继或者EAP终结。该命令的no形式关闭EAP中继。
dot1x eap-relay {enable|disable}
no dot1x eap-relay enable
【缺省情况】disable(EAP终结模式)
使用EAP终结模式时支持PAP认证(仅适合客户端使用迈普802.1X客户端)和CHAP认证。使用EAP中继模式时,具体支持的认证机制取决于802.1X客户端和认证服务器。
?dot1x guest-vlan
该命令配置端口的guest vlan,相关的no命令取消端口的guest vlan。
dot1x guest-vlan {vlanId}
no dot1x guest-vlan
【缺省情况】无
注:
1、端口的Guest vlan只能应用到ACCESS类型的端口上,且认证模式为portbased模式时才生效,在这种情况下端口配置guest vlan后,端口处于guest vlan中,此时用户无需认证就能且仅能访问该vlan的网路资源,一旦用户认证成功后,端口自动恢复到以前配置的vlan中,如果认证服务器下发了有效的vlan号,则端口自动加入到下发的vlan中,用户下线后,端口又恢复到guest vlan中。
2、如果用户将已经配置了guest vlan的端口切换到非ACCESS模式,guest vlan的配置将丢失。
3、端口的guest vlan不能应用到动态vlan上,比如guest vlan所指定的vlan id是由gvrp自动创建的vlan,那guest vlan可以配置成功,但不会生效。
?dot1x reauthentication
该命令启用端口的重认证功能,相关的no命令关闭端口重认证功能。
dot1x reauthentication
no dot1x reauthentication
【缺省情况】启用重认证
?dot1x eapol-relay
该命令启用/关闭端口的EAPOL报文透传功能。该命令的no形式也可以关闭EAPOL透传功能。
dot1x eapol-relay {enable|disable}
no dot1x eapol-relay enable
【缺省情况】disable
注:
只有当端口未启用802.1X认证(dot1x port-control enable)时,该功能才生效。
?dot1x eapol-relay uplink
该命令配置EAPOL报文透传时的上联端口,相关的no命令取消上联端口。
dot1x eapol-relay uplink {port| link-aggregation}
no dot1x eapol-relay uplink
【缺省情况】无
注:
1、只有在端口上的eapol-relay生效的情况下,该上联端口配置才会生效。
2、上联端口上不能启用802.1X功能。
3、上联端口目前不支持将收到的组播报文转发到其它端口的功能,因此从上联端口进入的组播报文不会触发到其它端口上的802.1X客户端软件,因此在这种应用环境中只能通过客户端软件主动发起认证请求才能开始802.1X认证过程。
?dot1x max-authfail
该命令配置端口最大认证失败次数,当用户认证失败次数达到上限时,用户必须等待一定的时间之后才能重新开始认证。该命令的no形式设置最大失败次数为缺省值。
dot1x max-authfail {1-10}
no dot1x max-authfail
【缺省情况】1
该命令配置端口的重认证时间(秒),在端口重认证开启的情况下,每个该时间间隔周期都会执行重认证。该命令的no形式设置重认证时间为缺省值。
dot1x timeout re-authperiod {5-65535}
no dot1x timeout re-authperiod
【缺省情况】3600
?dot1x timeout quiet-period
该命令配置端口的惩罚时间(秒),当用户连续认证失败达到上限时,在惩罚时间内,该用户不能再继续认证。该命令的no形式设置惩罚时间为缺省值。
dot1x timeout quiet-period {1-65535}
no dot1x timeout quiet-period
【缺省情况】60
?dot1x timeout server-timeout
该命令配置服务器的超时时间(秒),当设备向服务器发送认证报文后,如果在该时间内还未收到服务器的应答,则认为服务器超时无应答。该命令的no形式设置服务器超时时间为缺省值。
dot1x timeout server-timeout {5-3600}
no dot1x timeout server-timeout
【缺省情况】30
?dot1x timeout supp-timeout
该命令配置客户端的超时时间(秒),当设备向认证客户端发送EAP报文后,如果在该时间内还未收到客户端的应答,则认为客户端超时无应答。该命令的no形式设置客户端超时时间为缺省值。
dot1x timeout supp-timeout {5-3600}
no dot1x timeout supp-timeout
【缺省情况】30
?dot1x timeout offline-detect
该命令配置MAC认证用户下线检查时间(秒),当用户认证通过后设备即以该时间为周期检查用户是否已经下线。该命令的no形式设置检查时间为缺省值。
dot1x timeout offline-detect {5-3600}
no dot1x timeout offline-detect
【缺省情况】300
注:
1、此处检查用户是否下线是看用户信息是否已被芯片老化掉,检查周期就是offline-detect指定的时间,检查过程中一旦发现用户已被老化掉,则会删除该dot1x用户信息。
2、芯片周期性地老化用户,其老化周期可通过配置模式下的“mac-address aging-time seconds”命令来设定,缺省值是300秒,也就是用户连续不发报文的时间大于300秒的话,用户就会被老化掉。
3、是否支持该命令视不同的产品型号而定:RM1800-21-AC、RM1800-22-AC、RM1800-23-AC这些型号不支持。
?dot1x default
该命令将恢复端口上802.1X的默认配置。
dot1x default
【缺省情况】无
注:
该命令将关闭端口上的802.1X功能。
?dot1x mac-authentication
该命令在端口上启用或者关闭MAC认证功能。该命令的no形式也可关闭MAC认证功能。
no dot1x mac-authentication enable
【缺省情况】disable
注:
1、如果端口上启用了802.1X功能(dot1x port-control enable),则该功能不能启用。
2、是否支持该命令视不同的产品型号而定:RM1800-21-AC、RM1800-22-AC、RM1800-23-AC这些型
号不支持。
?dot1x mac-authentication user-name-format
该命令在端口上设置MAC认证功能的认证用户名格式。该命令的no形式也可关闭MAC认证功能。
dot1x mac-authentication user-name-format {fixed account username password password | mac-address { with-hyphen | without-hyphen} }
no dot1x mac-authentication user-name-format
【缺省情况】mac-address with-hyphen(带连字号的mac地址信息,格式:xx-xx-xx-xx-xx-xx)。
注:
是否支持该命令视不同的产品型号而定:RM1800-21-AC、RM1800-22-AC、RM1800-23-AC这些型号不支持。
?dot1x keepalive
该命令在端口上启用或者关闭与客户端的保活功能。该命令的no形式也可关闭保活功能。
dot1x keepalive {enable|disable}
no dot1x keepalive enable
【缺省情况】disable
?dot1x keepalive period
该命令配置保活报文发送周期。该命令的no形式设置保活报文发送周期为缺省值。dot1x keepalive period {5-3600}
no dot1x keepalive period
【缺省情况】60
?dot1x keepalive retries
该命令配置保活报文重传次数。该命令的no形式设置重传次数为缺省值。
dot1x keepalive retries {1-100}
no dot1x keepalive period
【缺省情况】3
?dot1x max-reauth
该命令配置最大的重认证次数,相关的no命令恢复默认的次数。
dot1x max-reauth {3-100}
no dot1x max-reauth
【缺省情况】3
注:
无
?dot1x syslog
该命令配置端口下发送认证结果的日志功能,相关的no命令来关闭该功能。
dot1x syslog
no dot1x syslog
【缺省情况】关闭
注:
该功能发送的认证结果仅限于认证失败的情况。
22.3802.1X应用实例
22.3.1802.1X客户端认证
1、组网需求
如下图22-1所示,某用户与设备的端口Port 0/1相连接,设备的管理者希望在端口上对用户的接入进行802.1X认证,以控制其对Internet的访问。
要求:
1、认证时使用Radius认证方式(设备及服务器的key均设置成maipu);
2、用户未认证通过时可以访问Update Server(Update Server在Vlan 10内);
3、用户认证通过后可以访问Internet(设备连接Internet的端口在Vlan 5内);
4、当用户认证通过后,该端口上的其它用户不需要再认证也可以访问Internet。
2、组网图
Radius Server
Update Server
图 22-1 802.1x 配置举例
图解:
主机通过802.1X 认证接入网络,认证服务器为Radius 服务器。客户端主机(Supplicant )接入的端口Port 0/1 在VLAN 1内;认证服务器在VLAN 2内;Update Server 是用于客户端软件下载和升级的服务器,在VLAN 10内; 交换机连接Internet 网络的端口Port 0/2在VLAN 5内。 3、配置描述
命令 描述 Router#conf terminal 进入配置模式 Router(config)#aaa new-model
启用AAA 模式
Router(config)#aaa authentication connection default radius
配置AAA 为radius 认证模式 Router(config)#radius-server host 128.255.42.1 key maipu 配置radius 服务器地址及key 值 Router(config)#vlan 2 创建vlan 2 Router(config-vlan2)#exit 退出vlan 配置模式 Router(config)#port 0/3
进入端口配置模式 Router(config-port-0/3)#port access vlan 2 将port 0/3加入到vlan2中 Router(config-port-0/3)#exit 退出端口配置模式 Router(config)#interface vlan 2 进入接口配置模式
Router(config-if-vlan2)#ip address
128.255.42.10 255.255.255.0
配置vlan2接口的地址信息
Router(config-if-vlan2)#exit 退出接口配置模式 Router(config)#vlan 5 创建vlan 5 Router(config-vlan5)#exit 退出vlan 配置模式
Router(config-port-0/2)#port access vlan 5 将port 0/2加入到vlan5中Router(config-port-0/2)#exit 退出端口配置模式
Router(config)#vlan 10 创建vlan 10
Router(config-vlan10)#exit 退出vlan配置模式
Router(config)#port 0/4 进入端口配置模式
Router(config-port-0/4)#port access vlan 10 将port 0/4加入到vlan10中Router(config-port-0/4)#port 0/1 切换到port 0/1的配置模式下Router(config-port-0/1)#dot1x port-control enable 启用802.1X认证功能
Router(config-port-0/1)#dot1x port-method portbased 配置基于端口的接入控制模式Router(config-port-0/1)#dot1x guest-vlan 10 配置vlan10为guest vlan
Router(config-port-0/1)#exit 退出端口配置
Router(config)#
Radius Server
Update Server
Supplicant
Vlan 2 Port 0/3
Vlan 1 Port 0/1
Vlan 5 Port 0/2
Vlan 10
图22-2 802.1x配置举例
图解:
认证通过前,Port 0/1被加入Guest VLAN中,此时Supplicant和Update Server都在VLAN10内,Supplicant可以访问Update Server并下载802.1X客户端。
Radius Server
Update Server
Supplicant
图 22-3 802.1x配置举例
图解:
当用户认证成功上线,认证服务器下发VLAN 5。此时Supplicant和Port 0/2 都在VLAN5内,Supplicant可以访问Internet。
22.3.2MAC地址认证
一、本地认证实例
1、组网需求
如下图22-4所示,某用户与设备的端口Port 0/0相连接,设备的管理者希望在端口上对用户的接入进行MAC地址认证,以控制其对Internet的访问。
要求:
1、设备每隔120秒就对用户是否下线进行检测;
2、当用户认证失败后,需要等待5分钟才能对用户进行再次认证;
3、认证时使用本地认证方式;
4、使用用户的源MAC地址作用户名和密码,MAC地址使用连字符“-”。
2、组网图
MAC:
0001.7a11.2233
Supplicant
图22-4 本地认证方式
3、配置描述
命令描述Router#conf terminal 进入配置模式
Router(config)#user 00-01-7a-11-22-33 password 0 00-01-7a-11-22-33 配置本地用户,用户名和密码均为待接入的用户的MAC地址00-01-7a-11-22-33
Router(config)#aaa new-model 启用AAA模式
Router(config)#aaa authentication connection default local 配置AAA本地认证模式
Router(config)#port 0/0 进入端口配置模式
Router(config-port-0/0)#dot1x timeout offline-detect 120 配置120秒对用户进行下线检测
Router(config-port-0/0)#dot1x timeout quiet-period 300 配置用户认证失败后的静默时间为5分钟(300秒)Router(config-port-0/0)#dot1x mac-authentication enable 启用端口MAC认证功能
Router(config-port-0/0)#dot1x mac-authentication user-name-format mac-address with-hyphen 配置MAC认证用户名格式为:使用连字符“-”的MAC信息作用户名和密码(此项为缺省配置)
Router(config-port-0/0)#exit 退出端口配置模式
通过show running-config命令可以查看当前的配置信息:Router#show running-config
Building Configuration...done
……
user 00-01-7a-11-22-33 password 0 00-01-7a-11-22-33
……
aaa new-model
aaa authentication connection default local
……
port 0/0
dot1x timeout offline-detect 120
dot1x timeout quiet-period 300
dot1x mac-authentication enable
第1章系统基础 本章主要讲述迈普路由器中MYPOWER-R系统的基本知识,包括MYPOWER-R系统模式、配置环境的准备及命令行接口的有关知识等。 本章主要内容: ●路由器配置方式 ●命令运行模式 ●搭建配置环境 ●命令行接口 ●路由器WEB配置 1.1路由器配置方式 迈普路由器为用户提供了四种典型的配置方式,分别是: ●通过console口,采用shell命令进行配置 ●通过336modem模块LINE口进行配置 ●通过Telnet远程登录到路由器上配置 ●通过SNMP网管系统对路由器进行配置 其中最后一种配置方式提供中英文的用户界面,主要用于用户监控网络的工作状态及收集系统统计信息。 本用户手册主要描述通过console口配置路由器的方法,通过336modem模块LINE口、Telnet远程登录配置路由器的方法与之类似,通过SNMP网管系统对路由器进行配置的细节详见路由器网管系统说明书。 1.2命令运行模式 迈普路由器MYPOWER-R 为系统命令的管理及执行专门提供了一个命令处理子系统,称之为shell,其主要功能包括: ●系统命令的注册 ●系统配置命令的用户编辑 ●用户输入命令(通过Console口或Telnet连接)的语法分析 ●系统命令的执行 用户通过shell命令配置路由器时,系统为命令的执行提供了多种运行模式,每种命令模式分别支持特定的MYPOWER-R 配置命令,从而达到分级保护系统的目的,确保系统不受未经授权的访问。 Shell子系统当前为配置命令的运行提供以下多种模式,不同的模式对应于不同的系统提示符,用以提示用户当前所处的系统模式。可能的一些模式如下: ●普通用户模式(user EXEC) ●特权用户模式(privileged EXEC) ●全局配置模式(global configuration) ●接口配置模式(interface configuration)
迈普交换机基本配置
迈普交换机配置 1、迈普设备配置基本命令 用户名密码为:admin admin Switch>enable //进入普通用户模式-只能看看 Switch#config terminal //进入全局配置模式 Switch(config)#vlan 70 //新建 vlan 70 Switch(config-If-Vlan70)#name guanli //将vlan70命名为guanli Switch(config-If-Vlan70)#ip address 172.17.202.21255.255.255.0 //配置交换机管理地址 Switch(config-If-Vlan70)#no shutdown Switch(config-If-Vlan70)#exit Switch(config)#ip route-static 0.0.0.0 0.0.0.0 172.17.202.1 //配置交换机路由 Switch(Config)#vlan 338,440 //新建vlan338,440 Switch(config)#int ethernet 0/0/1 //进入端口 Switch(Config- Ethernet- 0/0/1)#no shutdown //打开端口 Switch(Config- Ethernet- 0/0/1)#switchport mode access //将端口定义为access口 Switch(Config- Ethernet- 0/0/1)#switchport access vlan 388 //将vlan338加入该端口 Switch(Config- Ethernet- 0/0/1)#exit //退出 Switch(Config)# int ethernet 0/0/12-19;int ethernet 0/0/20 //进入端口组
1.查看配置命令:sh run 作用:查看路由器的配置 2.查看路由表ship route 作用查看路由器的路由表,如下 WANGHUA_DANDONGLU#ship route Codes: C - connected, S - static, R - RIP, O - OSPF, OE-OSPF External, M - Management D - Redirect, E - IRMP, EX - IRMP external, o - SNSP, B - BGP Gateway of last resort is 0.0.0.0 to network 0.0.0.0 S 0.0.0.0/0 [1/78125] is directly connected, 1138:18:02, serial0/0 C 21.38.249.4/30 is directly connected, 1138:18:02, serial0/0 C 21.38.250.32/28 is directly connected, 1138:18:36, fastethernet0 C 21.38.250.56/30 is directly connected, 1138:18:37, loopback0 C 22.38.250.32/28 is directly connected, 1138:18:36, fastethernet0 C 22.38.250.56/30 is directly connected, 1138:18:37, loopback1 C 127.0.0.0/8 is directly connected, 1138:18:46, lo0 C 21.38.249.5/32 is directly connected, 1138:18:02, serial0/0 3.简明接口信息查询ship interface brif 作用:查看各个接口的状态,这里可以看到接口的对应的ip,以及接口状态,up表示接口在使用并且链路正常。 LNFS2_WN_AR_01#sh ip interface brief Interface IP-Address Status Description gigaethernet0 21.0.225.10 UP LINK TO RG5750 lo0 127.0.0.1 UP gigaethernet2 unassigned DOWN gigaethernet3 unassigned DOWN switchethernet5/0 21.0.227.21 UP switchethernet5/2 21.0.227.25 UP serial4/0 21.0.224.34 DOWN TO ShenYang serial4/1 21.0.229.45 DOWN qingyuan serial4/2 21.0.229.49 DOWN to Xinbin serial4/3 unassigned DOWN null0 unassigned UP 4.查看内存使用情况:sh memory,会出现很多信息,重点查看总使用率如下总使用率为 20.32% STATISTICS ---------- Used bytes Free bytes Total bytes Used percent ---------- ---------- ----------- ------------ 54544868 213885452 268430320 20.32% 5.查看cpu使用率分为三步,第一打开监控cpu命令:spy cpu。第二步查看cpu情况命令: shcpu。第三步,查看完毕后关闭监控:no spy cpu。如下cpu空闲为100%
迈普路由器产品手册文件管理序列号:[K8UY-K9IO69-O6M243-OL889-F88688]
目录
一、迈普路由器产品系列 1MP8800系列万兆核心路由器 1.1产品概述 MP8800系列路由器是迈普通信技术股份有限公司自主研发的,全球第一款采用众核技术的路由器,是基于对行业用户业务应用的充分调研和深刻理解而推出的一款跨时代的万兆级高端骨干核心路由器。MP8800基于先进的众核设计理念,采用分布式处理架构,充分考虑云网络针对业务、内容的数据处理特点,可实现客户业务的开放化和业务的云端化。通过迈普特有的多线程专利处理技术和先进的众核处理器硬件,实现高速的IPv4/IPv6、MPLS转发,整机的包转发性能高达800Mpps,强大的转发性能和丰富的业务特性全面满足用户各种组网应用的需求。 MP8800系列路由器作为一种多用途的高端骨干核心路由器主要应用于IP骨干网、IP城域网以及各种大型IP网络的核心和汇聚位置。MP8800路由器的强大转发性能和丰富的业务能力能够全面满足用户多种组网应用需求,可与迈普全系列路由器一起为运营商、金融、政府、能源、交通、教育、军队等行业用户和大中型企业用户提供整网解决方案。 1.2产品特征 全球领先的众核技术,丰富的业务支持能力
MP8800系列万兆核心路由器采用业界领先的众核处理器,是全球第一款众核高端路由器。它基于先进的众核设计理念,充分考虑云网络针对业务、内容的数据处理特点,实现客户业务的开放化和业务的云端化。支持用户程序独立占有CPU核组,可独立计算,独立完成自定义的业务功能,并实现云端业务,防病毒,邮件过滤,安全准入控制等应用。 线速转发能力,支持可扩展的交换容量 采用先进的分布式处理架构,集中式控制,分布式处理,充分保证每个槽位的线速处理能力,系统具有优越的可扩展性。通过迈普特有的多线程专利处理技术和众核处理器,保障多个处理内核之间数据转发和负载均衡,实现高速的IPv4/IPv6、MPLS 转发。 丰富的业务接口卡,满足各种组网需要 MP8800采用一体化结构,并支持高性能的众核处理器,可以提供10GE,GE, 2.5G/622M/155M的POS、CPOS,ATM,E1等接口卡,丰富的多业务板卡提供多种增值业务,充分满足用户的各种组网需求。 强大的IPv4/IPv6路由支持能力 MP8800支持多种大型动态路由协议,如RIP/RIPng、OSPFv2/v3、IS-ISv4/v6、BGP4/BGP4+等,路由能力强大,适合Internet骨干网应用;同时支持IPv4/IPv6双协议栈,支持各种应用场景的IPv4/IPv6过渡机制,如手工配置隧道、自动6To4隧道和6PE等。 完善的QoS和业务支持能力 MP8800支持层次化的QOS(H-QoS),基于硬件的带宽限制,支持PQ、CBWFQ、LLQ、WRED等多种拥塞管理和拥塞避免算法,为业务的开展提供完善的QoS机制;支持静态组播和各种动态组播路由协议,可控组播、负荷分担、流量统计等功能。
InfoExpress IOS InfoExpress l l l l 1.1 l console shell l 56/336modem LINE l Telnet l SNMP console 56/336modem LINE Telnet SNMP 1.2 InfoExpress IOS shell l l l Console Telnet l shell
InfoExpress IOS Shell l user EXEC l privileged EXEC l global configuration l interface configuration l router configuration l file system configuration l access list configuration l voice-port configuration l dial-peer configuration l crypto transform-set configuration l crypto map configuration l IKE isakmp configuration l pubkey-chain configuration l pubkey-key configuration l DHCP dhcp configuration 1-1 1-1 InfoExpress Lo en co in ro um
IP phone E1 filesystem router(config-fs)# exit ip access-list router(config-std-nacl)# cl)# voice-port ro rt) dial-peer router(config-dial-peer )# exit V oIP POTS crypto ipsec transform-set router(cfg-crypto-trans )# exit crypto map router(cfg-crypto-map) # exit IKE crypto isakmp router(config-isakmp)# crypto key pubkey-chain rsa router(config-pubkey-c hain)# exit RSA
OSPF配置命令
本手册著作权属迈普通信技术有限公司所有,未经著作权人书面许可,任何单位或个人不得以任何方式摘录、复制或翻译。 侵权必究。 策划:研究院资料服务处 * * * 迈普通信技术有限公司 地址:成都市高新区九兴大道16号迈普大厦 技术支持热线:400-886-8669 传真:(+8628)85148948 E-mail:support@https://www.doczj.com/doc/4c9621841.html, 网址:https://www.doczj.com/doc/4c9621841.html, 邮编:610041 版本:2011年8月v1.0版
目录 第1章OSPF配置 (4) 1.1 OSPF 简介 (4) 1.1.1 OSPF配置列表 (5) 1.2.1 OSPF基本配置 (6) 1.2.2 OSPF相关参数配置 (6) 1.2.3 OSPF接口相关配置 (6) 1.2.4 OSPF区域相关配置 (8) 1.2.5 配置举例 (10)
第1章OSPF配置 1.1 OSPF 简介 OSPF是Open Shortest Path First(即“开放最短路由优先协议”)的缩写。它是IETF 组织开发的一个基于链路状态和最短路径优先技术的内部路由协议。在IP网络上,它通过收集和传递自治系统的链路状态来动态地发现并传播路由;OSPF协议支持基于接口的报文验证以保证路由计算的安全性;OSPF协议使用IP组播方式发送和接收报文。 每个支持OSPF协议的路由器都维护着一份描述整个自治系统拓扑结构的数据库——这一数据库是收集所有路由器的链路状态信息(LAS)而得到的。每一台路由器总是将描述本地状态的信息广播到整个自治系统中去。在各类可以多址访问的网络中,如果存在两台或两台以上的路由器,该网络上要选举出“指定路由器”(DR)和“备份指定路由器”(BDR)。指定路由器负责将网络的链路状态信息广播出去。引入这一概念,有助于减少在多址访问网络上各路由器之间邻接关系的数量。OSPF协议允许自治系统的网络被划分成区域来管理,区域间传送的路由信息被进一步抽象,从而减少了占用网络的带宽。 OSPF使用4类不同的路由,按优先顺序来说分别是: 区域内路由 区域间路由 第一类外部路由 第二类外部路由 区域内和区域间路由描述的是自治系统内部的网络结构,而外部路由则描述了应该如何选择到自治系统以外目的地的路由。一般来说,第一类外部路由对应于OSPF 从其它内部路由协议所引入的信息,这些路由的花费和OSPF 自身路由的花费具有可比性;第二类外部路由对应于OSPF 从外部路由协议所引入的信息,它们的花费远大于OSPF 自身的路由花费,因而在计算时,将只考虑外部的花费。 根据链路状态数据库,各路由器构建一棵以自己为根的最短路径树,这棵树给出了到自
从路由器的console口登陆 router>enable ------------------------------进入特权模式 router#configure terminal------------------------进入配套模式 router(config)#interfacefastethernet1----------------进入快速以太网口FA0 router(config-if-fastethernet0)#ipaddress 222.222.222.222 255.255.255.0-------------配置公网IP router(config-if-fastethernet0)# ip nat outside------------------把端口设为NA T外网口 router(config-if-fastethernet0)#int switchethernet0 --------------------进入第二个以太网口SW0 router(config-if-switchethernet0)#ip address 192.168.1.1 255.255.255.0------------------配置内网IP router(config-if-switchethernet0)# ip natinside------------------把端口设为NAT内网口 router(config-if-switchethernet0)# vlan 1---------------------端口属于VLAN1 router(config-if-switchethernet0)#exit---------------------------退出接口配置模式 vlan 1 description default port 0-7 untagged exit router(config)#ip access-list standard 1000--------配置标准访问列表 router(config-std-acl)#10 permit192.168.1.00.0.0.255-----只允许192.168.1.0网段的所有电脑router(config-std-acl)#exit ----------------------退出访问列表配置模式 router(config)#ipnat insidesource list 1000 interface fastethernet1-------配置内网与公网地址映射,把访问例表1000允许的内网地址转换成公网地址。 router(config)#ip router 0.0.0.0 0.0.0.0 fastethernet0------配置默认路由方式之一。该方式避免了默认路由的修改,可远程修改用户公网地址。 router(config)#ip router 0.0.0.0 0.0.0.0 222.222.222.1-----配置默认路由方式之一。该方式需修改默认路由的下一跳地址,无法远程修改用户公网地址。 router(config)#ip dhcp pool dhcpserver ---------------------------创建一个DHCP功能 router (dhcp-config)#range 192.168.1.100 192.168.1.200 255.255.255.0-----DHCP地址池 router (dhcp-config)#dns-server 211.138.151.161 211.138.145.194-----设置DNS router (dhcp-config)#default-router 192.168.1.1------DHCP与内网网关绑定。 router (dhcp-config)#exit router(config)#ip nat inside source static tcp 192.168.1.100 80 222.222.222.222 80-----映射HTTP 服务器端口,服务器IP为192.168.1.100 router(config)# user f privilege 15 password 0f-----配置用户和密码,权限等15,为最高router(config)# service password-encryption --------给配置的用户名密码加密 router(config)#end-------------返回特权模式, User guomaitech (帐号) privilege 15 passward 0 guomaitech123(密码)创建账号密码 Line vty 0 3 Login local Exit router#write----------------保存当前配置
迈普路由器配置简易文档 配置前的准备工作: 1、笔记本一台; 2、电脑与路由器连接的数据线一根 3、安装SecureCRT软件 操作步骤: 一、将迈普路由器通电,电源在机器后部,将数据线如图将路由器与电脑的USB口相连。
二、打开SecureCRT软件 如下图如示进行一步步操作 点快速连接(ALT+Q),出现对话框,按下图进行相关配置,这里要注意的是每个人的机器对应的COM口可能不一样,有可能是COM1或者COM2---8,请点键点击“我的电脑”---“管理”---“设备管理器”进行查找对应的COM口。
点击上图中的“连接”,就可以连接器了, 连接成功后就是下面这个样子 在YZ_SHQ_Rxxx(这个因网点不同数字号码不一样)>输入en 出现password: 输入口令:yzsqls(这里默认是不显示的,不用管) 出现YZ_SHQ_Rxxx# 输入con t命令,这时就可以对这台设备进行配置了,首先要知道我们要进行配置的是哪家支行,打到支行的原始配置文件后打开
从配置文件里的 “hostname YZ_SHQ_Rxxx no service password-encrypt no service new-encrypt service login-secure enable password XYYYRYPY[XRY encrypt开始进行复制,再到SecureCRT软件里进行粘贴,注意复制和时候不要一次复制太多行,可以10行10行的进行复制粘贴,一直到配置文件的结束。
全部复制好之后,用exit命令退到YZ_SHQ_Rxxx#状态,输入WR命令进行保存。 这时如果不放心可以用sh run命令进行查看和对比,看是否正确导入配置。 比较后如果没有问题关掉电源,路由器就配置成功可以拿到网点进行更换了。
第15章PPPoE协议配置 本文主要讲述PPPoE协议的内容和配置方法。 本章主要内容: ●PPPoE概述 ●PPPoE基本命令描述 ●PPPoE客户端、服务器配置实例 ●PPPoE监控和调试 15.1PPPoE概述 PPPoE协议是指在Ethernet(以太网)上实现PPP连接的一种协议。一种典型的PPPoE应用是PC 机利用PPPoE拨号软件通过以太网与局端建立连接。 15.2PPPoE基本命令描述 注: 1、在命令描述前用“*”符号表示该命令后续有配置实例详细说明; 2、配置模式指可以执行该配置命令的模式,如:config、config-if-××(接口名)、config-××(协
议名称)等; 3、命令的书写方式请参见前言的“本书约定”部分; 4、在分别对各个命令进行详细说明的部分,每个命令最后需要对命令的参数缺省情况进行说明, 如果没有定义缺省参数,则以“未定义”说明; pppoe enable 为了能够监听来自线路上的PPPoE报文,使用该命令;否则使用该命令的no格式来禁止。通常该命令用于PPPoE服务器端。 pppoe enable no pppoe enable 【缺省情况】未定义 pppoe-client dial-pool-number 为了能够监听来自线路的PPPoE报文并且能够主动进行PPPoE呼叫,使用该命令;否则使用该命令的no格式来禁止。该命令用于PPPoE客户端。 pppoe-client dial-pool-number pool-number pppoe-client dial-pool-number pool-number ac-name ac-name no pppoe-client dial-pool-number pool-number 命令描述 pool-number 拨号池号码 ac-name 访问控制器的名称(对端PPPoE服务器的名称) 【缺省情况】未定义 pppoe-client auto-dial 为了能够让PPPoE客户端自动拨号,使用该命令;否则使用该命令的no格式来禁止。 pppoe-client auto-dial always pppoe-client auto-dial time-range string 命令描述 string time-range名称 【缺省情况】未定义 vpdn enable 为了能够正常使用VPDN功能,首先必须启用VPDN功能;否则使用该命令no格式来禁止。vpdn enable no vpdn enable
第22章802.1X配置 本章主要讲述了迈普系列路由交换机支持的802.1X功能以及详细的配置信息。 章节主要内容: ●802.1X介绍 ●802.1X配置 ●802.1X应用举例 ●监控与维护 22.1802.1X介绍 22.1.1802.1X简介 802.1X是IEEE在2001年6月提出的宽带接入认证方案,它定义了基于物理端口的网络接入控制协议(Port-Based Network Access Control)。802.1X利用IEEE 802架构局域网的物理访问特性,提供了一套对以点对点方式(point-to-point)连接到局域网端口(Port)上的设备进行认证、授权的方法。 802.1X具有如下特点: 1.方案简洁。80 2.1X 仅仅关注端口的打开与关闭。对于合法用户(根据帐号和密码)接入时该端 口打开,而对于非法用户接入或没有用户接入时,则该端口处于关闭状态。认证的结果在于端口状态的改变,是各种认证技术中最简化的实现方案。 2.802.1X所使用的EAP协议只定义了认证消息的通信方式(the means of communication authentication information),而没有定义具体的认证机制(authentication mechanism)。因此可以灵活地选择认证机制,(包括:Smart Card、Kerberos、Public Key Encryption、One Time Password等)。 3.IEEE 802.1X协议为二层协议,不需要到达三层。也就是说,客户端系统在认证中,不需IP地 址。认证开始时的EAPOL帧使用01-80-c2-00-00-03作为目的MAC地址,使用发送者的MAC 地址作为源MAC地址。 4.采用纯以太网技术,通过认证之后的数据包不存在封装与解封装的问题,因而效率高,消除了 网络瓶颈。 5.用户通过认证后,业务流和认证流实现分离,对后续的数据包处理没有特殊要求,业务可以很
(一)配置ACL: 首先配置好禁止外网PING路由器的ACL,要注意ACL的源地址和目的地址,下面的例子表示源地址是any,目的地址是:218.207.161.170。如果专线用户有多个IP地址,必须扩大反掩码。 【配置举例】 acl extended number 100 rule 1 deny icmp any 218.207.161.170 0.0.0.0 echo rule 2 permit ip any any (二)应用ACL: 由于我们是要禁用外网对路由器的ICMP报文,因此应用的方向是由外至内,因此必须在路由器的OUTSIDE口(WAN)的IN方向进行限制。 【配置举例】 Interface fei_0/1 ip access-group 100 in 二、迈普路由器 (一)配置ACL: 与中兴一样,必须配置一条扩展ACL: 【配置举例】 ip access-list extended 1002
中兴、迈普路由器禁Ping配置: 20 deny icmp any host 113.18.107.80 echo 30 permit ip any any 【注意事项】 部分迈普路由器,如MP2600并不支持过滤ICMP的ECHO报文,这种情况将会导致出方向的ICMP ECHO 报文也被ACL过滤,亦即应用该ACL后,也会导致内网无法PING通外网。碰到种型号的迈普路由器,必须事先跟用户做好沟通工作,避免不必要的投诉。 (二)应用ACL: 【配置举例】 Interface fastethernet0 ip access-group 1002 in
MP1800系列路由器配置手册
本手册著作权属迈普通信技术股份有限公司所有,未经著作权人书面许可,任何单位或个人不得以任何方式摘录、复制或翻译。 侵权必究。 策划:研究院资料服务处 * * * 迈普通信技术股份有限公司 地址:成都市高新区九兴大道16号迈普大厦 技术支持热线:400-886-8669 传真:(+8628)85148948 E-mail:support@https://www.doczj.com/doc/4c9621841.html, 网址:https://www.doczj.com/doc/4c9621841.html, 邮编:610041 * * * 版本:2010年5月第2.0版 编号:MP/DC-RD-CPSJ-114-R2010-0019
前言 用户指南 本手册主要讲述如何通过命令行界面管理迈普路由器。本手册尽量将系统的每一个功能的配置命令放在同一章,这样当您需要配置某种功能的时候,只需查看对应的章节即可。对一些相互交错的功能的配置命令,如果不能放在一起,本手册会特别指明。 希望本手册能对您的工作有所帮助! 读者对象 ●网络工程师 ●技术推广人员 ●网络管理人员 适用范围 本手册适用于RM1800-21,RM1800-22,RM1800-23,RM1800-31,RM1800-31W,RM1800-35,RM1800-35W,RM1800-36,RM1800-36W路由器设备。 本书约定 命令行关键字用加粗表示; 命令行参数用斜体表示。 大括号“{ }”表示括号中的选项是必选的; 中括号“[ ]”表示括号中的选项是可选的; 尖括号“<>”表示括号中的信息不被显示出来;
方括号“【】”表示括号中的内容需要用户注意; 竖线“|”用于分隔若干选项,表示二选一或多选一; 正斜线“/”用于分隔若干选项,表示被分隔的各选项是可以被同时选中的; “ 注意”表示需要读者注意的事项,是配置系统的关键之处,希望用户能认真阅读。 “ 注”表示对前面内容的注解; “ 图解”表示对图例的文字解释。 声明 由于产品版本升级或其它原因,本手册内容会不定期进行更新。除非另有约定,本手册仅作为使用指导,本手册中的所有陈述、信息和建议不构成任何明示或暗示的担保。
迈普配置命令集合 视图模式介绍: 普通视图router> 特权视图router# /在普通模式下输入enable 全局视图router(config)# /在特权模式下输入config t 接口视图router(config-if)# /在全局模式下输入int 接口名称例如int s0或int e0 路由协议视图router(config-route)# /在全局模式下输入router 动态路由协议名称 1、基本配置: router>enable /进入特权模式 router#conf t /进入全局配置模式 router(config)# hostname xxx /设置设备名称就好像给我们的计算机起个名字 router(config)#enable password /设置特权口令 router(config)#no ip domain lookup /不允许路由器缺省使用DNS解析命令 router(config)# Service password-encrypt /对所有在路由器上输入的口令进行暗文加密 router(config)#line vty 0 4 /进入设置telnet服务模式 router(config-line)#password xxx /设置telnet的密码 router(config-line)#login /使能可以登陆 router(config)#line con 0 /进入控制口的服务模式 router(config-line)#password xxx /要设置console的密码 router(config-line)#login /使能可以登陆 2、接口配置: router(config)#int s0 /进入接口配置模式serial 0 端口配置(如果是模块化的路由器前面加上槽位编号,例如serial0/0 代表这个路由器的0槽位上的第一个接口) router(config-if)#ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx /添加ip 地址和掩码 router(config-if)#enca hdlc/ppp 捆绑链路协议hdlc 或者ppp 思科缺省串口封装的链路层协议是HDLC所以在show run配置的时候接口上的配置没有,如果要封装为别的链路层协议例如PPP/FR/X25就是看到接口下的enca ppp或者enca fr router(config)#int loopback /建立环回口(逻辑接口)模拟不同的本机网段 router(config-if)#ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx /添加ip 地址和掩码给环回口 在物理接口上配置了ip地址后用no shut启用这个物理接口反之可以用shutdown管理性的关闭接口 3、路由配置: (1)静态路由 router(config)#ip route xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 下一条或自己的接口 router(config)#ip route 0.0.0.0 0.0.0.0 s 0 添加缺省路由 (2)动态路由 rip协议 router(config)#router rip /启动rip协议 router(config-router)#network xxx.xxx.xxx.xxx /宣告自己的网段 router(config-router)#version 2 转换为rip 2版本 router(config-router)#no auto-summary /关闭自动汇总功能,rip V2才有作用 router(config-router)# passive-int 接口名/启动本路由器的那个接口为被动接口 router(config-router)# nei xxx.xxx.xxx.xxx /广播转单播报文,指定邻居的接ip,
MP2000宽带路由器使用FAQ 1. 怎么在路由器中设置密码? 第一步:设置超级终端: 接好配置线缆,在PC上运行超级终端程序,并选择相应的串口(如com1),设置其属性:波特率为9600,软流控,数据位是8位,无奇偶校验,1位停止位; 第二步:启动路由器,进入router>模式; 第三步:输入“enable”命令,回车,进入router#模式; 第四步:输入“configure terminal”,命令,回车,进入router(config)#模式; 第五步:使用enable password命令设置密码。 2. 我现在想改一下路由器的配制,但忘记密码了,怎么办?你们能远程帮 我把密码去掉吗? 出于安全考虑,密码必须通过路由器上的配置口,使用“超级终端”工具来清除,并且在清除密码的同时,会将路由器中所有的配置都清除掉。 第一步:设置超级终端: 接好配置线缆,在PC上运行超级终端程序,并选择相应的串口(如com1),设置其属性:波特率为9600,软流控,数据位是8位,无奇偶校验,1位停止位。 第二步:进入Monitor模式: 重新给路由器上电,在启动时按CTRL+C,进入Monitor模式,提示符为Monitor:>。 第三步:在Monitor:>下用“e d”命令清除配置。 第四步:再次重新启动路由器。 鉴于这个命令会清除路由器中所有的配置,请谨慎使用。平时妥善保管密码,做好路由器配置资料的备份。 3. 上网的时候,经常有些网站打不开,为什么? 如果是部分网站打不开,还有部分网站能够正常连接,此时路由器工作是正常的,内网和外网的连接也应该是正常的。出现这种情况的原因主要是设置DNS出错,导致对某些网站的域名解析不能成功,因此无法访问。 需要修改DNS设置,或者与提供线路的运营商联系。 4. 你们的MP2000有多少个端口? MP2000是一个产品系列,它又分成几个不同型号的产品: 产品型号端口数 MP2000-101-AC 1个配置口,1个10M/100M WAN口,1个10M/100M LAN口 MP2000-108A-AC 1个配置口,1个10M/100M WAN口,8个10M/100M
迈普交换机配置 1、迈普设备配置基本命令 用户名密码为:admin admin Switch>enable //进入普通用户模式-只能看看 Switch#config terminal //进入全局配置模式 Switch(config)#vlan 70 //新建vlan 70 Switch(config-If-Vlan70)#name guanli //将vlan70命名为guanli Switch(config-If-Vlan70)#ip address 172.17.202.21255.255.255.0 //配置交换机管理地址 Switch(config-If-Vlan70)#no shutdown Switch(config-If-Vlan70)#exit Switch(config)#ip route-static 0.0.0.0 0.0.0.0 172.17.202.1 //配置交换机路由 Switch(Config)#vlan 338,440 //新建vlan338,440 Switch(config)#int ethernet 0/0/1 //进入端口 Switch(Config- Ethernet- 0/0/1)#no shutdown //打开端口 Switch(Config- Ethernet- 0/0/1)#switchport mode access //将端口定义为access口 Switch(Config- Ethernet- 0/0/1)#switchport access vlan 388 //将vlan338加入该端口 Switch(Config- Ethernet- 0/0/1)#exit //退出 Switch(Config)# int ethernet 0/0/12-19;int ethernet 0/0/20 //进入端口组
迈普路由器产品手册 文稿归稿存档编号:[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-MG129]
目录
迈普路由器产品系列 MP8800系列万兆核心路由器 产品概述 MP8800系列路由器是迈普通信技术股份有限公司自主研发的,全球第一款采用众核技术的路由器,是基于对行业用户业务应用的充分调研和深刻理解而推出的一款跨时代的万兆级高端骨干核心路由器。MP8800基于先进的众核设计理念,采用分布式处理架构,充分考虑云网络针对业务、内容的数据处理特点,可实现客户业务的开放化和业务的云端化。通过迈普特有的多线程专利处理技术和先进的众核处理器硬件,实现高速的IPv4/IPv6、MPLS转发,整机的包转发性能高达800Mpps,强大的转发性能和丰富的业务特性全面满足用户各种组网应用的需求。 MP8800系列路由器作为一种多用途的高端骨干核心路由器主要应用于IP骨干网、IP城域网以及各种大型IP网络的核心和汇聚位置。MP8800路由器的强大转发性能和丰富的业务能力能够全面满足用户多种组网应用需求,可与迈普全系列路由器一起为运营商、金融、政府、能源、交通、教育、军队等行业用户和大中型企业用户提供整网解决方案。 产品特征 全球领先的众核技术,丰富的业务支持能力 MP8800系列万兆核心路由器采用业界领先的众核处理器,是全球第一款众核高端路由器。它基于先进的众核设计理念,充分考虑云网络针对业务、内容的数据处理特点,实现客户业务的开放化和业务的云端化。支持用户程序独立占有CPU核组,可独立计算,独立完成自定义的业务功能,并实现云端业务,防病毒,邮件过滤,安全准入控制等应用。 线速转发能力,支持可扩展的交换容量
迈普路由器配置手册集团文件版本号:(M928-T898-M248-WU2669-I2896-DQ586-M1988)
第1章系统基础 本章主要讲述迈普路由器中MYPOWER-R系统的基本知识,包括MYPOWER-R系统模式、配置环境的准备及命令行接口的有关知识等。 本章主要内容: 路由器配置方式 命令运行模式 搭建配置环境 命令行接口 路由器WEB配置 1.1路由器配置方式 迈普路由器为用户提供了四种典型的配置方式,分别是: 通过console口,采用shell命令进行配置 通过336modem模块LINE口进行配置 通过Telnet远程登录到路由器上配置 通过SNMP网管系统对路由器进行配置 其中最后一种配置方式提供中英文的用户界面,主要用于用户监控网络的工作状态及收集系统统计信息。 本用户手册主要描述通过console口配置路由器的方法,通过336modem模块LINE口、Telnet远程登录配置路由器的方法与之类似,通过SNMP网管系统对路由器进行配置的细节详见路由器网管系统说明书。 1.2命令运行模式 迈普路由器MYPOWER-R 为系统命令的管理及执行专门提供了一个命令处理子系统,称之为shell,其主要功能包括: 系统命令的注册 系统配置命令的用户编辑 用户输入命令(通过Console口或Telnet连接)的语法分析 系统命令的执行 用户通过shell命令配置路由器时,系统为命令的执行提供了多种运行模式,每种命令模式分别支持特定的MYPOWER-R配置命令,从而达到分级保护系统的目的,确保系统不受未经授权的访问。 Shell子系统当前为配置命令的运行提供以下多种模式,不同的模式对应于不同的系统提示符,用以提示用户当前所处的系统模式。可能的一些模式如下: