锐捷RG-S5750交换机开局配置保姆级教程:从Telnet、SSH到DHCP,一次搞定
锐捷RG-S5750交换机实战配置指南从零构建安全高效的网络管理环境第一次拿到锐捷RG-S5750交换机时很多工程师都会面临一个现实问题如何在最短时间内完成基础配置让设备快速投入生产环境本文将带你从零开始通过一套经过实战验证的配置流程一次性搞定Telnet、SSH和DHCP三大核心功能。不同于零散的功能点介绍我们会重点讲解配置之间的逻辑关联和实际应用中的注意事项让你不仅知道怎么做更明白为什么这么做。1. 设备初始化与基础网络规划在开始具体配置前合理的网络规划是确保后续操作顺利进行的关键。RG-S5750作为一款企业级三层交换机其配置灵活性既带来了强大功能也增加了配置复杂度。我们先从最基本的物理连接和IP规划说起。物理连接检查清单使用Console线连接交换机的Console端口和电脑的串口或USB转串口确认终端软件如SecureCRT、Putty的串口参数设置为波特率9600数据位8无奇偶校验停止位1无流控首次通电后观察交换机启动指示灯状态确保硬件自检正常对于中小型企业网络环境我们推荐采用以下VLAN和IP规划方案功能VLAN ID子网地址网关地址用途说明管理网络10192.168.10.0/24192.168.10.254设备管理、远程访问员工办公20192.168.20.0/24192.168.20.254内部员工终端接入访客网络30192.168.30.0/24192.168.30.254外部访客无线接入服务器区域40192.168.40.0/24192.168.40.254内部服务器连接提示实际配置时请根据网络规模调整VLAN数量和IP地址段避免与现有网络冲突。完成物理连接后通过Console口登录设备你会看到类似如下的初始界面Ruijieenable Ruijie#这时设备处于特权模式我们可以开始基础配置。首先设置设备名称和管理IPconfigure terminal hostname SW1-Core # 设置设备标识名 vlan 10 # 创建管理VLAN name Management exit interface vlan 10 # 配置VLAN接口IP ip address 192.168.10.254 255.255.255.0 no shutdown exit2. 安全远程管理从Telnet到SSH的进阶配置虽然现代网络环境中SSH已成为远程管理的首选但了解Telnet的配置仍然有其价值——特别是在某些特殊场景下作为备用访问方式。我们先从Telnet配置开始再过渡到更安全的SSH方案。2.1 Telnet基础配置与安全加固Telnet配置的核心在于三个方面用户认证方式、访问权限控制和会话超时设置。以下是经过安全加固的Telnet配置示例enable service telnet-server # 启用Telnet服务 username admin password cipher Admin123 # 创建加密存储的管理员账户 aaa new-model # 启用AAA认证系统 aaa authentication login default local # 设置默认使用本地认证 line vty 0 4 # 配置虚拟终端线路 exec-timeout 10 0 # 设置10分钟无操作自动断开 login authentication default # 应用认证配置 transport input telnet # 允许Telnet接入 exit这段配置实现了以下安全增强密码使用cipher关键字加密存储引入AAA认证框架为后续扩展留出空间设置会话超时防止长时间闲置连接限制同时在线会话数为5个vty 0 4注意在生产环境中建议将默认的VTY线路访问控制与ACL结合使用进一步限制可访问Telnet的源IP地址范围。验证Telnet配置是否生效show running-config | include telnet show users # 查看当前活跃会话2.2 SSH安全配置最佳实践SSH作为Telnet的安全替代方案其配置需要特别注意密钥管理和协议版本控制。以下是针对RG-S5750的优化SSH配置流程crypto key generate rsa modulus 2048 # 生成2048位的RSA密钥对 enable service ssh-server # 启用SSH服务 ip ssh version 2 # 强制使用SSHv2协议 ip ssh authentication-retries 3 # 设置认证失败重试次数 ip ssh time-out 60 # 设置连接超时时间(秒) username admin secret cipher Ssh123 # 创建SSH专用账户 line vty 0 4 transport input ssh # 仅允许SSH接入 login authentication default exit关键安全措施解析密钥强度2048位的RSA密钥在安全性和性能间取得平衡协议控制禁用不安全的SSHv1仅允许SSHv2暴力破解防护通过限制重试次数和设置超时增加攻击难度账户隔离为SSH访问创建专用账户与Telnet账户分离验证SSH服务状态show ssh # 显示SSH服务状态和活跃连接 show crypto key mypubkey rsa # 查看生成的RSA公钥3. DHCP服务配置与高级功能实现RG-S5750作为三层交换机其内置的DHCP服务能够为不同VLAN提供地址分配服务。与简单的DHCP配置不同我们将实现一个支持多VLAN、具有地址预留和选项配置的专业级DHCP方案。3.1 基础DHCP服务器配置首先确保DHCP服务全局启用然后为每个VLAN创建独立的地址池service dhcp # 全局启用DHCP服务 ! ip dhcp pool VLAN20_Office # 办公VLAN地址池 network 192.168.20.0 255.255.255.0 default-router 192.168.20.254 dns-server 8.8.8.8 8.8.4.4 # 指定DNS服务器 lease 8 # 设置8小时租约时间 ! ip dhcp pool VLAN30_Guest # 访客VLAN地址池 network 192.168.30.0 255.255.255.0 default-router 192.168.30.254 dns-server 8.8.8.8 lease 4 # 访客网络租约时间较短 exit3.2 地址预留与DHCP选项对于网络中的关键设备如打印机、IP电话我们需要进行地址预留ip dhcp pool VLAN20_Printer1 host 192.168.20.100 255.255.255.0 client-identifier 0100.1094.3fc2.d7 # 根据设备MAC地址生成 client-name Office-Printer1 exit添加自定义DHCP选项以配置VoIP电话的TFTP服务器为例ip dhcp pool VLAN20_IPPhone network 192.168.20.0 255.255.255.0 option 150 ip 192.168.40.10 # VoIP专用选项 exit3.3 DHCP中继与监控当网络中存在多个子网时可能需要配置DHCP中继interface vlan 30 ip helper-address 192.168.40.5 # 指向中心DHCP服务器 exit常用监控命令show ip dhcp binding # 查看地址分配情况 show ip dhcp server statistics # 查看DHCP服务统计信息 debug ip dhcp server packet # 调试DHCP报文交互(慎用)4. 配置备份与设备维护策略完成基础服务配置后建立规范的配置备份和设备维护流程同样重要。这不仅能防止配置丢失还能在设备故障时快速恢复。4.1 配置备份方案锐捷交换机支持多种配置备份方式我们推荐组合使用以下方法本地备份copy running-config startup-config # 保存当前配置到启动文件 copy startup-config flash:/backup-20230815.cfg # 另存为带日期备份文件远程备份通过SCPcopy startup-config scp://backupuser192.168.40.15/backups/SW1-Core.cfg自动化备份脚本示例#! /bin/bash DATE$(date %Y%m%d) ssh admin192.168.10.254 copy startup-config flash:/backup-$DATE.cfg scp admin192.168.10.254:backup-$DATE.cfg /nfs/backup/network/4.2 设备健康监控定期检查以下关键指标可以提前发现潜在问题show cpu usage # CPU利用率监控 show memory # 内存使用情况 show interface counters errors # 接口错误统计 show logg # 系统日志查看4.3 密码恢复与故障处理虽然我们强调配置备份的重要性但了解密码恢复流程仍是必要的断开交换机电源等待10秒后重新通电在启动过程中看到提示时快速按下CtrlC中断启动进入BootLoader模式后执行config_util clear_password reboot重要密码恢复会导致设备重启应在业务低峰期进行。完成密码重置后应立即重新配置访问控制策略。