学海无涯走一路学一路

锐捷网管交换机DHCP Snooping 基本功能配置举例

一、组网需求
DHCP客户端用户可以通过合法DHCP服务器动态获取IP地址。

二、组网图

三、配置要点
●在接入设备Device上开启DHCP Snooping功能。
●将上连口GigabitEthernet 0/1设置为TRUST口。

四、配置步骤
# 配置Device。
Device> enable
Device# configure terminal
Device(config)# ip dhcp snooping
Device(config)# interface gigabitethernet 0/1
Device(config-if-GigabitEthernet 0/1)# ip dhcp snooping trust

五、验证配置结果
# 查看Device的DHCP Snooping配置情况，关注点为TRUST口是否正确。
Device# show ip dhcp snooping
Switch DHCP snooping status : ENABLE
DHCP snooping verify hardware address status : DISABLE
DHCP snooping database write-delay time : 0 seconds
DHCP snooping option 82 status : DISABLE
DHCP snooping Support bootp bind status : DISABLE
Interface Trusted Rate limit (pps)
———————— ——- —————-
GigabitEthernet 0/1 YES unlimited
# 查看Device生成的表项信息。
Device# show ip dhcp snooping binding
Total number of bindings: 1
NO. MACADDRESS IPADDRESS LEASE(SEC) TYPE VLAN INTERFACE
1 0013.2049.9014 172.16.1.2 86207 DHCP-Snooping 1 GigabitEthernet 0/1

六、配置文件
Device的配置文件
hostname Device
!
ip dhcp snooping
!
interface GigabitEthernet 0/1
ip dhcp snooping trust
!
end

七、常见错误
● 没有将上连口设置为DHCP TRUST口。
●在上连口上配置了其他的接入安全选项，导致配置DHCP TRUST口失败。

锐捷网管交换机DHCP 客户端基本功能配置举例

一、组网需求
如图所示，Device A的接口GigabitEthernet 0/1通过DHCP协议，从Device B（DHCP服务器）获取IP地址和DNS服务器地址20.1.1.1/24。
DHCP 客户端基本功能配置组网图

二、配置要点
● 开启Device A接口GigabitEthernet 0/1上的DHCP客户端功能。
● 开启Device B的DHCP服务器功能，并按要求配置地址池参数。

三、配置步骤
(1) 配置Device A
# 配置在接口GigabitEthernet 0/1上启用DHCP Client服务。
DeviceA> enable
DeviceA# configure terminal
DeviceA(config)# interface gigabitethernet 0/1
DeviceA(config-if-GigabitEthernet 0/1)# ip address dhcp

(2) 配置Device B
# 启用DHCP Server服务。
DeviceB> enable
DeviceB# configure terminal
DeviceB(config)# service dhcp

# 配置与客户端连接的接口IP地址。
DeviceB(config)# interface gigabitethernet 0/1
DeviceB(config-if-GigabitEthernet 0/1)# ip address 20.1.1.2 255.255.255.0
DeviceB(config-if-GigabitEthernet 0/1)# exit

# 配置与DNS服务器连接的接口IP地址。
DeviceB(config)# interface gigabitethernet 0/2
DeviceB(config-if-GigabitEthernet 0/2)# ip address 20.1.2.2 255.255.255.0
DeviceB(config-if-GigabitEthernet 0/2)# exit

# 配置动态地址池。
DeviceB(config)# ip dhcp pool User
DeviceB(dhcp-config)# network 20.1.1.0 255.255.255.0
DeviceB(dhcp-config)# dns-server 20.1.2.1
DeviceB(dhcp-config)# exit

# 配置排除地址。
DeviceB(config)# ip dhcp excluded-address 20.1.1.2

(3) 配置DNS Server
# 配置DNS Server的IP地址为20.1.2.1/24。

四、验证配置结果
# 在Device B上通过show dhcp lease查看接口获取IP地址信息。
DeviceB# show dhcp lease
Temp IP addr: 20.1.1.1 for peer on Interface: GigabitEthernet 0/1
Temp sub net mask: 255.255.255.0
DHCP Lease server: 20.1.1.2, state: 7 Bound
DHCP transaction id: ca811331
Lease: 14400 secs, Renewal: 7200 secs, Rebind: 12600 secs
Next timer fires after: 4916 secs
Retry count: 0 Client-ID: 0158696cc59347
# 在Device A上通过show hosts查看接口获取DNS服务器信息。
DeviceA# show hosts
Name servers are:
20.1.2.1 dynamic from DHCP
Host type Address TTL(sec)

五、配置文件
● Device A的配置文件
hostname DeviceA
!
interface gigabitethernet 0/1
ip address dhcp
!
● Device B的配置文件
hostname DeviceB
!
service dhcp
ip dhcp excluded-address 20.1.1.2
!
interface gigabitethernet 0/1
ip address 20.1.1.2 255.255.255.0
!
interface gigabitethernet 0/2
ip address 20.1.2.2 255.255.255.0
!
ip dhcp pool User
network 20.1.1.0 255.255.255.0
dns-server 20.1.2.1
!

锐捷网管交换机DHCP按用户类分配地址配置举例

一、组网需求
如图所示，Device A作为DHCP服务器为客户端分配IP地址和其他网络配置参数；Device B作为DHCP中继在客户端与服务器之间转发DHCP报文。现要求实现：如果Device A接收到的请求报文中带有Option 82，则为该客户端分配地址范围192.1.1.200到192.1.1.254的IP地址；否则，为该客户端分配地址范围192.1.1.1到192.1.1.199的IP地址。
按用户类分配地址配置组网图

二、配置要点
●配置Device A
○ 配置接口的IP地址。
○ 开启DHCP中继功能。
○ 开启Option82功能。

● 配置Device B
○ 配置接口的IP地址。
○ 配置从Device B到Device A的接口GigabitEthernet 0/1的路由。
○ 开启DHCP Server服务，配置地址池的参数。
○ 添加指定的用户类规则。

三、配置步骤
(1) 配置Device A
# 配置接口的IP地址。
DeviceA> enable
DeviceA# configure terminal
DeviceA(config)# interface gigabitethernet 0/1
DeviceA(config-if-GigabitEthernet 0/1)# ip address 192.1.1.1 255.255.255.0
DeviceA(config-if-GigabitEthernet 0/1)# exit
DeviceA(config)# interface gigabitethernet 0/2
DeviceA(config-if-GigabitEthernet 0/2)# ip address 172.2.2.2 255.255.255.0
DeviceA(config-if-GigabitEthernet 0/2)# exit

# 开启DHCP中继功能。
DeviceA(config)# service dhcp

# 添加DHCP服务器的地址。
DeviceA(config)# ip helper-address 172.2.2.1

# 开启Option82功能。
DeviceA(config)# ip dhcp relay information option82

(2) 配置Device B
# 配置接口的IP地址。
DeviceB> enable
DeviceB# configure terminal
DeviceB(config)# interface gigabitethernet 0/1
DeviceB(config-if-GigabitEthernet 0/1)# ip address 172.2.2.1 255.255.255.0
DeviceB(config-if-GigabitEthernet 0/1)# exit

# 配置到192.1.1.0/24网段的静态路由。
DeviceB(config)# ip route 192.1.1.0 255.255.255.0 gigabitethernet 0/1

# 启用DHCP Server功能。
DeviceB(config)# service dhcp

# 配置用户类规则。
DeviceB(config)# ip dhcp class myclass
DeviceB(config-dhcp-class)# relay agent information
DeviceB(config-dhcp-class-relayinfo)# relay-information hex 060223*

# 创建地址池并配置相关网络参数。
DeviceB(config)# ip dhcp pool pool1
DeviceB(dhcp-config)# network 192.1.1.0 255.255.255.0
DeviceB(dhcp-config)# default-router 192.1.1.1
DeviceB(dhcp-config)# dns-server 192.1.1.2

# 设置匹配用户类时分配地址网段。
DeviceB(dhcp-config)# class myclass
DeviceB(config-dhcp-pool-class)# address range 192.1.1.200 192.1.1.254
DeviceB(config-dhcp-pool-class)# exit

(3) 配置Host启动DHCP获取地址的功能。

四、验证配置结果
在Device B捕获报文，查看匹配用户类规则的终端申请到的IP地址范围为192.1.1.200~192.1.1.254；不匹配时，申请到的IP地址范围为192.1.1.1~192.1.1.199。

五、配置文件
●Device A的配置文件
hostname DeviceA
!
service dhcp
ip helper-address 172.2.2.1
ip dhcp relay information option82
!

interface gigabitethernet 0/1
ip address 192.1.1.1 255.255.255.0
exit
interface gigabitethernet 0/2
ip address 172.2.2.2 255.255.255.0
!
● Device B的配置文件
hostname DeviceB
!
ip route 192.1.1.0 255.255.255.0 gigabitethernet 0/1
service dhcp
!
interface gigabitethernet 0/1
ip address 172.2.2.1 255.255.255.0
!
ip dhcp class myclass
relay agent information
relay-information hex 060223*
!
ip dhcp pool pool1
network 192.1.1.0 255.255.255.0
default-router 192.1.1.1
dns-server 192.1.1.2
class myclass
address range 192.1.1.200 192.1.1.254
!

六、常见错误
● 没有启动DHCP Relay功能。
●没有配置DHCP Relay与DHCP Server之间的路由。
●没有配置DHCP 服务器IP地址。

锐捷网管交换机DHCP中继配置举例

一、组网需求
如图所示，DHCP客户端Host所在网段为192.1.1.0/24，Device A为网关设备，Device B为DHCP服务器。DHCP客户端要想向DHCP服务器申请到IP地址等相关配置信息，需要将网关作为DHCP中继，使得DHCP报文能够被中继转发给DHCP服务器。
DHCP 中继配置组网图

二、配置要点
● 配置Device A。
○配置接口的IP地址。
○开启DHCP中继功能。

●配置Device B。
○ 配置接口的IP地址。
○ 配置从Device B到Device A的接口GigabitEthernet 0/1的路由。
○ 开启DHCP Server服务，配置地址池的参数。

# 开启DHCP中继功能。
DeviceA(config)# service dhcp

# 添加DHCP服务器的地址。
DeviceA(config)# ip helper-address 172.2.2.1

# 配置到192.1.1.0/24网段的静态路由。
DeviceB(config)# ip route 192.1.1.0 255.255.255.0 gigabitethernet 0/1

# 启用DHCP Server功能。
DeviceB(config)# service dhcp

# 配置地址池pool1的网络参数。
DeviceB(config)# ip dhcp pool pool1
DeviceB(dhcp-config)# network 192.1.1.0 255.255.255.0
DeviceB(dhcp-config)# default-router 192.1.1.1
DeviceB(dhcp-config)# dns-server 192.1.1.2
DeviceB(dhcp-config)# exit

(3) 配置Host启动DHCP获取地址的功能。

5. 验证配置结果
# Host申请到192.1.1.0/24网段的地址。
# 在Device B通过show ip dhcp pool命令查看地址池配置及使用情况。
DeviceB(config)# show ip dhcp pool
Pool name Total Distributed Remained Percentage
———— ———– ———– ——– ———–
pool1 126 1 125 0.99206

四、配置文件
● Device A的配置文件
hostname DeviceA
!
interface gigabitethernet 0/1
ip address 192.1.1.1 255.255.255.0
!
interface gigabitethernet 0/2
!
service dhcp
ip helper-address 172.2.2.1
!

● Device B的配置文件
hostname DeviceB
!
interface gigabitethernet 0/1
ip address 172.2.2.1 255.255.255.0
!
ip route 192.1.1.0 255.255.255.0 gigabitethernet 0/1
service dhcp
!
ip dhcp pool pool1
network 192.1.1.0 255.255.255.0
default-router 192.1.1.1
dns-server 192.1.1.2
!

六、常见错误
●DHCP中继没有启动DHCP Relay功能。
●没有配置DHCP Relay与DHCP Service之间的路由。
● 在DHCP中继上没有配置DHCP服务器IP地址。

锐捷网管交换机DHCP动态分配地址配置举例

一、组网需求
如图所示，Device A作为DHCP服务器为同一网段中的客户端动态分配IP地址，地址池分为两个网段：192.1.1.0/25和192.1.1.128/25。
网段192.1.1.0/25内的IP地址租用期限为5天，域名后缀名为test.com，DNS服务器地址为192.1.1.130，网关地址为192.1.1.1；网段10.1.1.128/25内的IP地址租用期限为3天，域名后缀名为test.com，DNS服务器地址为192.1.1.130，网关地址为192.1.1.129。
动态分配地址配置组网图

二、配置要点
配置Device A：
●配置接口的IP地址。
●开启DHCP Server服务，配置2个地址池的参数。

三、配置步骤
(1) 配置Device A
# 配置接口的IP地址。
DeviceA> enable
DeviceA # configure terminal
DeviceA(config)# interface gigabitethernet 0/1
DeviceA(config-if-GigabitEthernet 0/1)# ip address 192.1.1.1 255.255.255.128
DeviceA(config-if-GigabitEthernet 0/1)# exit
DeviceA(config)# interface gigabitethernet 0/2
DeviceA(config-if-GigabitEthernet 0/2)# ip address 192.1.1.129 255.255.255.128
DeviceA(config-if-GigabitEthernet 0/2)# exit

# 启用DHCP Server服务。
DeviceA(config)# service dhcp

# 配置地址池pool1的网络参数。
DeviceA(config)# ip dhcp pool pool1
DeviceA(dhcp-config)# network 192.1.1.0 255.255.255.128
DeviceA(dhcp-config)# default-router 192.1.1.1
DeviceA(dhcp-config)# dns-server 192.1.1.130
DeviceA(dhcp-config)# domain-name test.com
DeviceA(dhcp-config)# lease 5
DeviceA(dhcp-config)# exit

# 配置地址池pool2的网络参数。
DeviceA(config)# ip dhcp pool pool2
DeviceA(dhcp-config)# network 192.1.1.128 255.255.255.128
DeviceA(dhcp-config)# default-router 192.1.1.129
DeviceA(dhcp-config)# dns-server 192.1.1.130
DeviceA(dhcp-config)# domain-name test.com
DeviceA(dhcp-config)# lease 3

(2) 配置DNS Server
# 配置DNS Server的IP地址为192.1.1.130/25。

(3) 配置Host
# 配置Host A、Host B、Host C启动DHCP获取地址的功能。

四、验证配置结果
# Host A和Host B申请到192.1.1.0/25网段的地址。
# Host C申请到192.1.1.128/25网段的地址。
# 在Device A通过show ip dhcp pool命令查看地址池配置及使用情况。
DeviceA(config)# show ip dhcp pool
Pool name Total Distributed Remained Percentage
———— ———– ———– ——– ———–
pool1 126 2 124 0.98413
pool2 126 1 125 0.99206

五、配置文件
Device A的配置文件
hostname DeviceA
!

interface gigabitethernet 0/1
ip address 192.1.1.1 255.255.255.128
!
interface gigabitethernet 0/2
ip address 192.1.1.129 255.255.255.128
!
service dhcp
!
ip dhcp pool pool1
network 192.1.1.0 255.255.255.128
default-router 192.1.1.1
dns-server 192.1.1.130
domain-name test.com
lease 5
!
ip dhcp pool pool2
network 192.1.1.128 255.255.255.128
default-router 192.1.1.129
dns-server 192.1.1.130
domain-name test.com
lease 3
!

六、常见错误
●未配置地址池。
●未开启DHCP Server服务。

锐捷网管交换机DHCP静态绑定地址配置举例

一、组网需求
如图所示，Host作为DHCP客户端，从DHCP服务器Device A获取静态绑定的IP地址。Host的MAC地址为：0050.56b0.2f50。
静态绑定地址配置举例

二、配置要点
配置Device A：
●配置接口的IP地址。
● 开启DHCP Server服务，配置地址池参数。

三、配置步骤
(1) 配置Device A。
# 配置接口的IP地址。
DeviceA> enable
DeviceA # configure terminal
DeviceA(config)# interface gigabitethernet 0/1
DeviceA(config-if-GigabitEthernet 0/1)# ip address 192.1.1.1 255.255.255.0
DeviceA(config-if-GigabitEthernet 0/1)# exit

# 开启DHCP Server服务。
DeviceA(config)# service dhcp

# 创建地址池pool1。
DeviceA(config)# ip dhcp pool pool1

# 配置采用静态绑定方式为客户端Host分配IP地址。
DeviceA(dhcp-config)# host 192.1.1.99 255.255.255.0
DeviceA(dhcp-config)# hardware-address 0050.56b0.2f50

(2) 配置Host。
# 配置Host启动DHCP获取地址的功能。

四、验证配置结果
# Host申请到IP地址192.1.1.99/24。

五、配置文件
Device A的配置文件
hostname DeviceA
!
interface gigabitethernet 0/1
ip address 192.1.1.1 255.255.255.0
!
service dhcp

!
ip dhcp pool pool1
host 192.1.1.99 255.255.255.0
hardware-address 0050.56b0.2f50
!

六、常见错误
● 未配置地址池。
● 未开启DHCP Server服务。

锐捷网管交换机代理ARP配置举例

一、组网需求
如图所示，两台用户主机Host A和Host B的IP处于同一网段，但被路由设备隔离到两个局域网。两台主机都没有配置缺省网关，两台路由设备通过串行线路相连。通过在路由设备上配置代理ARP的功能，实现不同局域网内主机的直接通讯。
代理 ARP 配置组网图

二、配置要点
● 在Device A和Device B的用户主机侧接口上开启代理ARP功能。
● 在Device A和Device B配置默认路由。

三、配置步骤
(1) 配置Device A
# 配置三层以太网接口GigabitEthernet 0/1的IP地址。
DeviceA> enable
DeviceA# configure terminal
DeviceA(config)# interface gigabitethernet 0/1
DeviceA(config-if-GigabitEthernet 0/1)# ip address 172.1.1.2 24

# 在三层以太网接口GigabitEthernet 0/1上开启代理ARP功能。
DeviceA(config-if-GigabitEthernet 0/1)# ip proxy-arp
DeviceA(config-if-GigabitEthernet 0/1)# exit

# 配置三层以太网接口GigabitEthernet 0/2的IP地址。
DeviceA(config)# interface gigabitethernet 0/2
DeviceA(config-if-GigabitEthernet 0/2)# ip address 172.2.1.1 24
DeviceA(config-if-GigabitEthernet 0/2)# exit

# 配置到172.1.2.0/16网段的静态路由。
DeviceA(config)# ip route 172.1.2.0 255.255.0.0 gigabitethernet 0/2

(2) 配置Device B
# 配置三层以太网接口GigabitEthernet 0/1的IP地址。
DeviceB> enable
DeviceB# configure terminal
DeviceB(config)# interface gigabitethernet 0/1
DeviceB(config-if-GigabitEthernet 0/1)# ip address 172.1.2.2 24

# 在三层以太网接口GigabitEthernet 0/1上开启代理ARP功能。
DeviceB(config-if-GigabitEthernet 0/1)# ip proxy-arp
DeviceB(config-if-GigabitEthernet 0/1)# exit

# 配置三层以太网接口GigabitEthernet 0/2的IP地址。
DeviceB(config)# interface gigabitethernet 0/2
DeviceB(config-if-GigabitEthernet 0/2)# ip address 172.2.1.2 24
DeviceB(config-if-GigabitEthernet 0/2)# exit

# 配置到172.1.1.0/16网段的静态路由。
DeviceB(config)# ip route 172.1.1.0 255.255.0.0 gigabitethernet 0/2

(3) 配置主机
# 配置Host A的IP地址为10.0.1.1/24。
# 配置Host B的IP地址为10.0.2.1/24。

四、验证配置结果
# Host A上Ping Host B可以连通。
# 查看Host A的ARP表，可以看到Host B所对应的MAC地址是Device A的三层以太网接口GigabitEthernet 0/1的MAC地址。

五、配置文件
● Device A的配置文件
!
hostname DeviceA
ip route 172.1.2.0 255.255.0.0 gigabitethernet 0/2
!
interface gigabitethernet 0/1
ip address 172.1.1.2 24
ip proxy-arp
!
interface gigabitethernet 0/2
ip address 172.2.1.1 24
!
● Device B的配置文件
!
hostname DeviceB
ip route 172.1.1.0 255.255.0.0 gigabitethernet 0/2
!
interface gigabitethernet 0/1
ip address 172.1.2.2 24
ip proxy-arp
!
interface gigabitethernet 0/2
ip address 172.2.1.2 24
!

锐捷网管交换机基于MAC地址划分VLAN配置举例

一、组网需求
公司在会议室提供了临时办公场所，会议室公用接口按照员工笔记本电脑的MAC地址划分VLAN，使员工从任意接口接入，都会被自动划分到部门所在VLAN中。

二、组网图
PC-A1、PC-A2属于部门A，规划为VLAN 100；PC-B1、PC-B2属于部门B，规划为VLAN 200。会议室为公用接口，PC-A1、A2接入后只能划分到VLAN 100，PC-B1、B2接入后只能划分到VLAN 200。
MAC VLAN 配置组网图

三、配置要点
● 配置Device D与接入设备相连的接口为TRUNK口。
●在Device C上创建MAC VLAN；配置全局静态MAC VLAN规则：
A部门申请在会议室接入的电脑MAC地址为54bf.6450.dd10，分配到VLAN 100中，优先级为1。
B部门有多人申请在会议室接入，MAC地址为54bf.6450.dd20到54bf.6450.dd2F，用54bf.6440.dd20加掩码ffff.ffff.fff0表示，分配到VLAN 200中，优先级为2。
● 配置Device C与终端相连的接口为Hybrid口，将MAC VLAN加入接口许可通过的Untagged VLAN列表。配置接口信任报文的CoS优先级。开启接口的MAC VLAN功能。
●Deviec A和Device B的上联口配置为Trunk口，连接终端的接口配置为Access口。Device A上配置接口加入VLAN 100，Device B上配置接口加入VLAN 200。

四、配置步骤
(1) 创建VLAN。
# 在Device D上配置VLAN 100、200。
DeviceD> enable
DeviceD# configure terminal
DeviceD(config)# vlan range 100,200
DeviceD(config-vlan-range)# exit

# 在Device C上配置VLAN 100、200。
DeviceC> enable
DeviceC# configure terminal
DeviceC(config)# vlan rang 100,200
DeviceC(config-vlan-range)# exit

# 在Device A上配置VLAN 100。
DeviceA> enable
DeviceA# configure terminal
DeviceA(config)# vlan 100
DeviceA(config-vlan-range)# exit

# 在Device B上配置VLAN 200。
DeviceB> enable
DeviceB# configure terminal
DeviceB(config)# vlan 200
DeviceB(config-vlan-range)# exit

(2) 配置干道接口。
# 将Device D的下联口GigabitEthernet 0/1~3配置为Trunk口。
DeviceD(config)# interface range gigabitethernet 0/1-3
DeviceD(config-if-range)# switchport
DeviceD(config-if-range)# switchport mode trunk
DeviceD(config-if-range)# switchport trunk native vlan 1
DeviceD(config-if-range)# switchport trunk allowed vlan all
DeviceD(config-if-range)# end
DeviceD# write

# 将Device A、B、C的上联口GigabitEthernet 0/1配置为Trunk口。A、B、C配置类似，以Device A为例。
DeviceA(config)# interface gigabitethernet 0/1
DeviceA(config-if-GigabitEthernet 0/1)# switchport
DeviceA(config-if-GigabitEthernet 0/1)# switchport mode trunk
DeviceA(config-if-GigabitEthernet 0/1)# switchport trunk native vlan 1
DeviceA(config-if-GigabitEthernet 0/1)# switchport trunk allowed vlan all
DeviceA(config-if-GigabitEthernet 0/1)# exit

(3) 配置Office中连接用户的接口加入固定VLAN。
# Device A上连接用户的接口GigabitEthernet 0/2~3加入VLAN 100。
DeviceA(config)# interface range gigabitethernet 0/2-3
DeviceA(config-if-range)# switchport
DeviceA(config-if-range)# switchport mode access
DeviceA(config-if-range)# switchport access vlan 100
DeviceA(config-if-range)# end
DeviceA# write

# Device B上连接用户的接口GigabitEthernet 0/2~3加入VLAN 200。
DeviceB(config)# interface range gigabitethernet 0/2-3
DeviceB(config-if-range)# switchport
DeviceB(config-if-range)# switchport mode access
DeviceB(config-if-range)# switchport access vlan 200
DeviceB(config-if-range)# end
DeviceB# write

(4) 配置Device C上连接用户的接口GigabitEthernet 0/2，根据用户MAC地址的不同，加入不同VLAN。
# 配置全局静态MAC VLAN规则。
DeviceC(config)# mac-vlan mac-address 54bf.6450.dd10 vlan 100 priority 1
DeviceC(config)# mac-vlan mac-address 54bf.6450.dd20 mask ffff.ffff.fff0 vlan 200 priority 2

# 配置下联口GigabitEthernet 0/2为Hybrid口，将MAC VLAN加入Hybrid口许可通过的Untagged VLAN列表。
DeviceC(config)# interface gigabitethernet 0/2
DeviceC(config-if-GigabitEthernet 0/2)# switchport
DeviceC(config-if-GigabitEthernet 0/2)# switchport mode hybrid
DeviceC(config-if-GigabitEthernet 0/2)# switchport hybrid native vlan 1
DeviceC(config-if-GigabitEthernet 0/2)# switchport hybrid allowed vlan add untagged 1,100,200

# 配置接口信任报文的CoS优先级。
DeviceC(config-if-GigabitEthernet 0/2)# mls qos trust cos

# 开启接口MAC VLAN功能。
DeviceC(config-if-GigabitEthernet 0/2)# mac-vlan enable
DeviceC(config-if-GigabitEthernet 0/2)# end
DeviceC# write

五、验证配置结果
(1) 通过show mac-vlan interface命令查看开启MAC VLAN功能的接口信息。
DeviceC# show mac-vlan interface
MAC VLAN is enabled on following interface:
—————————————
GigabitEthernet 0/2
(2) 通过show interface命令查看接口GigabitEthernet 0/2发送MAC VLAN的报文不带Tag。
DeviceC(config-if-GigabitEthernet 0/2)# show interface gigabitethernet 0/2
Bridge attributes:
Port-type: hybrid
Tagged vlan id: 2-99,101-199,201-4094
Untagged vlan id: 1,100,200
(3) 在Device C上查看静态（Static）MAC VLAN表项。
DeviceC# show mac-vlan static
The following MAC VLAN address exist:
S: Static D: Dynamic
MAC ADDR MASK VLAN ID PRIO STATE
——————————————————-
54bf.6450.dd10 ffff.ffff.ffff 100 1 S
54bf.6450.dd20 ffff.ffff.fff0 200 2 S
Total MAC VLAN address count: 2
(4) 为了验证MAC VLAN功能将终端划分到不同VLAN中实现二层隔离，将PC-A1、PC-A2、PC-B2配置到同一
网段中，验证只有同VLAN中的终端可以ping通。
# PC-A2在Office A接入，属于VLAN 100，配置其IP地址和掩码为192.168.5.12/24。
PC-A2> enable
PC-A2# configure terminal
PC-A2(config)# interface gigabitethernet 0/1
PC-A2(config-if-GigabitEthernet 0/1)# no switchport
PC-A2(config-if-GigabitEthernet 0/1)# ip address 192.168.5.12/24
# PC-B2在Office B接入，属于VLAN 200，配置其IP地址和掩码为192.168.5.22/24。
PC-B2> enable
PC-B2# configure terminal
PC-B2(config)# interface gigabitethernet 0/1
PC-B2(config-if-GigabitEthernet 0/1)# no switchport
PC-B2(config-if-GigabitEthernet 0/1)# ip address 192.168.5.22/24
# PC-A1在会议室接入，配置其IP地址和掩码为192.168.5.11/24。验证PC-A1能ping通VLAN 100中的PCA2，不能ping通VLAN 200中的PC-B2，说明PC-A1被MAC VLAN功能分配到VLAN 100中。
PC-A1> enable
PC-A1# configure terminal
PC-A1(config)# interface gigabitethernet 0/1
PC-A1(config-if-GigabitEthernet 0/1)# no switchport
PC-A1(config-if-GigabitEthernet 0/1)# ip address 192.168.5.11/24
PC-A1(config-if-GigabitEthernet 0/1)# end
PC-A1# ping 192.168.5.12
Sending 5, 100-byte ICMP Echoes to 192.168.5.12, timeout is 2 seconds:
< press Ctrl+C to break >
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 2/22/103 ms.
PC-A1# ping 192.168.5.22
Sending 5, 100-byte ICMP Echoes to 192.168.5.22, timeout is 2 seconds:
< press Ctrl+C to break >
….
Success rate is 0 percent (0/5).

六、配置文件
● Device C的配置文件
vlan range 1,100,200
!
mac-vlan mac-address 54bf.645c.dd10 vlan 100 priority 1
mac-vlan mac-address 54bf.6450.dd20 mask ffff.ffff.fff0 vlan 200 priority 2
!
interface GigabitEthernet 0/1
switchport
switchport mode trunk

switchport trunk native vlan 1
switchport trunk allowed vlan only 1-4094
!
interface GigabitEthernet 0/2
switchport
switchport mode hybrid
switchport hybrid native vlan 1
switchport hybrid allowed vlan only tagged 2-99,101-199,201-4094
switchport hybrid allowed vlan add untagged 1,100,200
mls qos trust cos
mac-vlan enable

● Device A的配置文件
vlan range 1,100
!
interface GigabitEthernet 0/1
switchport
switchport mode trunk
switchport trunk native vlan 1
switchport trunk allowed vlan only 1-4094
!
interface GigabitEthernet 0/2
switchport
switchport mode access
switchport access vlan 100
!
interface GigabitEthernet 0/3
switchport
switchport mode access
switchport access vlan 100

● Device B的配置文件
vlan range 1,200
!
interface GigabitEthernet 0/1
switchport
switchport mode trunk
switchport trunk native vlan 1
switchport trunk allowed vlan only 1-4094
!
interface GigabitEthernet 0/2
switchport
switchport mode trunk
switchport trunk native vlan 1
switchport trunk allowed vlan only 1-4094
!
interface GigabitEthernet 0/3

switchport
switchport mode trunk
switchport trunk native vlan 1
switchport trunk allowed vlan only 1-4094

● Device D的配置文件
vlan range 1,100,200
!
interface GigabitEthernet 0/1
switchport
switchport mode trunk
switchport trunk native vlan 1
switchport trunk allowed vlan only 1-4094
!
interface GigabitEthernet 0/2
switchport
switchport mode trunk
switchport trunk native vlan 1
switchport trunk allowed vlan only 1-4094
!
interface GigabitEthernet 0/3
switchport
switchport mode trunk
switchport trunk native vlan 1
switchport trunk allowed vlan only 1-4094

七、常见错误
● 配置接口MAC VLAN功能时，未将以太网接口或聚合接口先配置为二层接口。
● QoS不信任接口修改报文优先级，导致MAC VLAN优先级配置不生效。

锐捷网管交换MAC地址漂移检测功能配置举例

一、组网需求
在下图所示的组网中，Device B与Device C之间可能由于操作错误形成二层环路。通过配置MAC地址漂移检测功能与防护策略，在环路产生时能输出告警信息，并通过防护策略关闭端口排除故障。
MAC地址漂移检测功能配置组网图

二、配置要点
● 在Device A上配置MAC地址漂移检测功能。
●在Deivice A的接口上配置MAC地址漂移防护策略。
● 在Device A上配置接口GigabitEthernet 0/1的优先级高于GigabitEthernet 0/2的优先级。

三、配置步骤
# 开启MAC地址漂移检测功能。
DeviceA> enable
DeviceA# configure terminal
DeviceA(config)# mac-address-table flapping-logging

# 在接口GigabitEthernet 0/1上配置MAC地址漂移后关闭接口策略，关闭优先级为5。
DeviceA(config)# interface gigabitethernet 0/1
DeviceA(config)# (config-if-GigabitEthernet 0/1)# mac-address-table flapping action error-down
DeviceA(config)# (config-if-GigabitEthernet 0/1)# mac-address-table flapping action priority 5
DeviceA(config)# (config-if-GigabitEthernet 0/1)# exit

# 在接口GigabitEthernet 0/2上配置MAC地址漂移后关闭接口策略，关闭优先级为1。
DeviceA(config)# interface gigabitethernet 0/2
DeviceA(config)# (config-if-GigabitEthernet 0/2)# mac-address-table flapping action error-down
DeviceA(config)# (config-if-GigabitEthernet 0/2)# mac-address-table flapping action priority 1

四、验证配置结果
上述配置完成后，当MAC地址从Device A的接口GigabitEthernet 0/1迁移到GigabitEthernet 0/2时，设备将打印告警信息。同时，可以通过show mac-address-table flapping record命令查看动态MAC地址漂移记录。

# 检测到MAC地址迁移后，查看Deivce A上的记录。
DeviceA# show mac-address-table flapping record
Mac address flapping detect status : on
Mac address flapping detect interval : 1s
Mac address flapping syslog supress time : 1800s
Mac address flapping record max count : 300
Mac address flapping record total count : 2
Move-Time VLAN MAC-Address Original-Port Move-Ports Status
——————- —– ————– ————— ———— ——–
2020.11.14 12:10:46 1 0001.1111.1111 ge0/1 ge0/2 Normal
2020.11.14 12:10:58 1 0001.1111.1111 ge0/2 ge0/1 ERR-DOWN

五、配置文件
Device A的配置文件
hostname DeviceA
!
mac-address-table flapping-logging
!
!
interface gigabitEthernet 0/1
mac-address-table flapping action error-down
mac-address-table flapping action priority 5
!
!
interface gigabitEthernet 0/2
mac-address-table flapping action error-down
mac-address-table flapping action priority 1
!

海康威视iSC平台门禁权限下载配置

注：本内容适用于iSC平台（V2.x版本）

第一步、配置计划模板（按需设置）

您可以配置计划模板，用于设置某些时段内允许/禁止合法人员认证通过，也可以通过添加假日组设置允许/禁止访问的时间段。根据实际情况，您可以选择系统默认模板，也可以自定义计划模板，如设置工作日员工可以认证成功后通行；非工作日禁止认证通行等。

1、在首页单击进入“门禁管理”。进入门禁管理

配置计划模板

3、在添加页面配置计划模板，填写模板名称，并在模板详情下方空白处按住鼠标滑动进行时间选择拖动，最后点击保存。

第二步、配置门禁权限
配置详解：在门户-门禁管理-权限配置中，选择不同维度进行配置权限。以按组织配置权限为例，在权限规则目录，点中“按组织配置”，点击“添加权限”进入。选择计划模板、选择权限有效期、选择人员组织、在权限点位中选择“门禁点”，配置并保存。
1、在首页选择“门禁管理”，再点击“权限配置”-“权限规则”，选择“按组织配置”，单击“添加权限”。

2、选择已配置好的计划模板；点击人员组织下的“添加”选中需要分配权限的组织，点击确定。

3、选择门禁分组或门禁点，勾选点位后点击右侧箭头，单击“保存”。

第三步、门禁权限下发
新版本平台默认开启自动下发权限，配置完权限无需手动下发。如果想要手动下发权限，按照下面步骤操作。
配置详解：在门户-门禁管理-权限配置页面，页面右上角点“下发权限”，然后选择待下发的权限介质（卡片、人脸、指纹），再选择待下发的权限范围（选择门禁点），点确定后会校验权限，点下发即可。
1、进入平台首页，点击门禁管理，默认进入权限配置页面。