学海无涯 走一路学一路

注：
一般在接入、汇聚交换机上配风暴控制功能：

1、对于接入交换机，推荐应该在连接用户的端口上配置广播/组播风暴抑制，避免大量广播/组播泛洪，上联口无需配置。

2、对于汇聚交换机在接入交换机不支持风暴控制的前提下，推荐配置风暴控制，但应适当放大连接接入交换机端口的限速粒度，例如可以保持默认的1%带宽限制，上联口无需配置。

3、如果接入交换机已经配置风暴控制，汇聚交换机无需配置。

 

默认1%端口带宽的报文限速有一定抑制作用，但由于接口速率通常为100M/1000M，限速粒度依然偏大。

推荐在实际使用中，使用PPS可以将广播/组播/未知名单播限制的更小，一般接入交换机端口PPS可以选择100-300以内均可。

 

交换机广播风暴配置

将1号口的广播风暴功能开启，并且限制广播风暴的等级为1，即端口带宽的1%，

Ruijie>enable

Ruijie#configure termina

Ruijie(config)#interface gigabitEthernet 1/1 ——>可以使用interface range命令批量对端口设置相同的控制策略。

Ruijie(config-if-GigabitEthernet 1/1)#storm-control broadcast level 1 ——>开启广播风暴抑制，等级为1，即端口带宽的1%，即1G的1%，10M。

Ruijie(config-if-GigabitEthernet 1/1)#storm-control unicast level 1 ——>开启未知名单播风暴抑制（报文目标MAC地址交换机没有学习到，等级为1，即端口带宽的1%，即1G的1%，10M。

Ruijie(config-if-GigabitEthernet 1/1)#storm-control multicast level 1

 

也可以通过PPS来限速，比如限制每S通过的广播报文数量为200PPS，storm-control broadcast pps 200

Ruijie(config-if-GigabitEthernet 1/1)#storm-control broadcast pps 200

Ruijie(config-if-GigabitEthernet 1/1)#storm-control unicast pps 200

Ruijie(config-if-GigabitEthernet 1/1)#storm-control multicast 200

Ruijie(config-if-GigabitEthernet 1/1)#end

 

 

查看配置

Ruijie#show storm-control

Interface Broadcast Control Multicast Control Unicast Control Action

————————- —————– —————– ————— ——–

GigabitEthernet 1/1 1 % 1 % 1 % none

GigabitEthernet 1/2 Disabled Disabled Disabled none

GigabitEthernet 1/3 Disabled Disabled Disabled none

 

注：如果交换机端口配置为TRUNK，默认允许所有本交换机已创建VLAN的报文通过，全网TRUNK互联的情况下，整网的广播组播未知名单播都可能会泛洪到交换机上，导致端口、链路拥塞、大量协议报文（例如ARP）送CPU处理导致设备管理面出现异常（无法管理，CLI响应慢等现象），所以在项目实施中，规范性要求端口务必配置TRUNK裁减，只允许放通的VLAN报文通过。

1. 交换机access口配置

将交换机的10号口配置为access口，并且属于vlan100

Ruijie>enable

Ruijie#config terminal

Ruijie(config)#interface gigabitEthernet 1/10

Ruijie(config-if-GigabitEthernet 1/10)#switchport access vlan 100

Ruijie(config-if-GigabitEthernet 1/10)#end

Ruijie#write

 

说明：

交换机如果没有配置，那么默认所有端口都是access口。如果端口被配置为trunk口，需要改为access口，需要先在接口下敲switchport mode access，否则不生效，例如原来的trunk口配置改为access口，属于access vlan 100，命令如下：

Ruijie#show run interface gigabitEthernet 1/10 ——>查看配置

Building configuration…

Current configuration : 56 bytes

interface GigabitEthernet 1/10

switchport mode trunk

 

Ruijie#configure terminal

Ruijie(config)#interface gigabitEthernet 1/10

Ruijie(config-if-GigabitEthernet 1/10)#switchport mode access ——>设置为access模式

Ruijie(config-if-GigabitEthernet 1/10)#switchport access vlan 100

Ruijie(config-if-GigabitEthernet 1/10)#end

 

查看配置

Ruijie(config-if-GigabitEthernet 1/10)#show vlan

VLAN Name Status Ports

—- ——————————– ——— ———————————–

1 VLAN0001 STATIC Gi1/1, Gi1/2, Gi1/3, Gi1/4

Gi1/5, Gi1/6, Gi1/7, Gi1/8

Gi1/9, Gi1/13, Gi1/14, Gi1/15

Gi1/16, Gi1/17, Gi1/18, Gi1/19

Gi1/20, Gi1/21, Gi1/22, Gi1/23

Gi1/24, Gi1/25, Gi1/26, Gi1/27

Gi1/28, Gi1/29, Gi1/30, Gi1/31

Gi1/32, Gi1/33, Gi1/34, Gi1/35

Gi1/36, Gi1/37, Gi1/38, Gi1/39

Gi1/40, Gi1/41, Gi1/42, Gi1/43

Gi1/44, Te1/45, Te1/46, Te1/47

Te1/48, Gi4/1, Gi4/2, Gi4/3

 

100 VLAN0100 STATIC Gi1/1, Gi1/10, Te1/45, Te1/46

Te1/47

2. 交换机TRUNK口配置

将交换机的45号口配置为trunk口

Ruijie(config)#interface TenGigabitEthernet 1/45

Ruijie(config-if-TenGigabitEthernet 1/45)#switchport mode trunk

Ruijie(config-if-TenGigabitEthernet 1/45)#end

 

查看配置

Ruijie#show interfaces trunk

Interface Native VLAN VLAN lists

——————————– ———– ———————-

TenGigabitEthernet 1/45 1 ALL ——>native vlan是1，ALL表示允许所有的vlan通过

TenGigabitEthernet 1/46 1 ALL

TenGigabitEthernet 1/47 1 ALL

 

3. TRUNK口VLAN裁剪（必配）

交换机的1号口配置为trunk口，并且只允许vlan 5、vlan 10、vlan20-30通过，其余vlan不允许通过

Ruijie#configure terminal

Ruijie(config)#interface gigabitEthernet 1/1

Ruijie(config-if-GigabitEthernet 1/1)#switchport mode trunk

Ruijie(config-if-GigabitEthernet 1/1)#switchport trunk allowed vlan remove 1-4,6-9,11-19,31-4094 ——>交换机默认允许所有本地已创建的vlan通过，如果只需要配置只允许相应vlan通过，需要把不允许通过的vlan给裁剪掉

Ruijie(config-if-GigabitEthernet 1/1)#end

Ruijie#wr

 

配置要点

1、该配置是在已经可以正常telnet、SSH到交换机的前提下配置的；

2、配置AAA，限定登陆失败次数；

3、line下配置超时时间；

 

配置步骤

Ruijie>enable

Ruijie#config terminal

Ruijie(config)#username admin1 password admin1 —–>配置账号和密码

Ruijie(config)#username admin2 password admin2

Ruijie(config)#aaa new-model ——>开启AAA功能

Ruijie(config)#aaa authentication login default local group radius ——>先调用本地交换机配置的用户名密码，如果有radius服务器，可以配置调用radius服务的账号密码

Ruijie(config)#aaa local authentication attempts 3 ——>配置限制用户尝试次数为3次，如果3次输入对了用户名但是输错了密码，将会无法登入交换机

Ruijie(config)#aaa local authentication lockout-time 1 ——>如果无法登入后，需要等待1分钟才能再次尝试登入系统，不同交换机的时间单位可能不同，请根据交换命令后面的时间单位来配置，可以通过lockout-time后面敲?来查看时间单位

Ruijie(config)#line vty 0 4

Ruijie(config-line)#login authentication default ——>vty模式下应用login认证

Ruijie(config-line)#exec-timeout 20 ——–>20分钟不操作交换机，命令行将超时，自动退出，

Ruijie(config-line)#exit

Ruijie(config)#line console 0 ——>该方法对使用console口登录的用户也同样生效

Ruijie(config-line)#login authentication default ——>vty模式下应用login认证

Ruijie(config-line)#exec-timeout 20 ——–>20分钟不操作交换机，命令行将超时，自动退出，交换机默认是10分钟自动退出，这里如果写0，就代表永不超时。

Ruijie(config-line)#exit

Ruijie(config)#exit

Ruijie#write

注：登陆失败锁定，只会锁定某一个账号，不会完全锁定交换机，也就是说，如果交换机有多个账号（admin1、admin2），如果账号admin1登陆失败锁定了，那么admin2还是可以正常登陆的。

 

功能验证

1、我们用console口验证，以上配置完成后，手动退出交换机到如下模式：

 

2、我们尝试用admin1去登陆，故意输入错误的密码：

 

3、这时候我们用其他账号去登陆，可以登陆成功

 

4、登陆成功之后我们等待1分钟（测试时配置的1分钟），等命令行超时自动退出，这时候又要输入账号密码去登陆

 

5、再使用admin1去登陆交换机，可以登陆成功

配置要点
1、该配置是在已经可以正常telnet、SSH到交换机的前提下配置的
2、配置AAA本地认证；
3、配置AAA radius 认证；

配置步骤

1、AAA本地认证

Ruijie>enable

Ruijie#config terminal

Ruijie(config)#username admin1 password admin1 —–>配置本地用户名和密码

Ruijie(config)#username admin2 password admin2

Ruijie(config)#aaa new-model ——>开启AAA功能

Ruijie(config)#aaa authentication login default local ——>先调用本地交换机配置的用户名密码，

Ruijie(config)#line vty 0 4

Ruijie(config-line)#login authentication default ——>vty模式下应用login认证

Ruijie(config-line)#exit

Ruijie(config)#line console 0 ——>该方法对使用console口登录的用户也同样生效 ，请根据实际情况配置，如果配置操作失误，会导致无法登陆交换机，建议line vty的配置使用telnet或者SSH验证成功之后，再到lineconsole下配置

Ruijie(config-line)#login authentication default ——>console模式下应用login认证

Ruijie(config-line)#exit

Ruijie(config)#exit

Ruijie#write

2、AAA radius认证

Ruijie>enable

Ruijie#config terminal

Ruijie(config)#aaa new-model ——>开启AAA功能

Ruijie(config)#aaa authentication login ruijie-1 group radius local none ——>如果有radius服务器，可以配置调用radius服务的账号密码，并且配置radius服务器和秘钥，

//(选配) Ruijie(config)#aaa authentication login ruijie-1 group radius local —–> 如果radius认证失败后通过本地用户名和密码登陆，

//(选配)Ruijie(config)#aaa authentication login ruijie-1 group radius local none—–>如果radius认证失败后通过本地用户名和密码登陆,本地登陆失败后不需要认证

Ruijie(config)#radius-server host 192.168.100.1 key ruijie ——>radius的地址和key根据实际情况修改，保证交换机可以和服务器正常通信的情况下在继续配置

Ruijie(config)#line vty 0 4

Ruijie(config-line)#login authentication ruijie-2 ——>vty模式下应用login认证，调用ruijie-1列表

Ruijie(config-line)#exit

Ruijie(config)#line console 0 ——>该方法对使用console口登录的用户也同样生效，请根据实际情况配置，如果配置操作失误，会导致无法登陆交换机，建议line vty的配置使用telnet或者SSH验证成功之后，再到lineconsole下配置

Ruijie(config-line)#login authentication ruijie-2 ——>console模式下应用login认证，调用ruijie-1列表

Ruijie(config-line)#exit

Ruijie(config)#username admin1 password admin1 —–>配置本地用户名和密码

Ruijie(config)#username admin2 password admin2

Ruijie(config)#exit

Ruijie#write

功能验证

1、使用交换机自己telnet自己的方式来验证，

2、使用账号去登陆，可以登陆成功

重要说明：

1）配置默认网关是二层交换机需要进行远程跨网段管理时的必配功能。

2）对于三层交换机，配置默认网关属于静态路由，当然设备也可以通过动态路由协议来学习网络路由，实现远程管理，关于其他路由协议的配置防范，可参考：IP路由 （配置方式参见 常用功能配置>IP路由）

 

设置交换机的默认网关

二层交换机配置管理IP地址的默认网关

Ruijie>enable

Ruijie#configure terminal

Ruijie(config)#ip default-gateway 192.168.1.254 ——>设置交换机的默认网关为192.168.1.254

Ruijie(config)#end

Ruijie#write ——>确认配置正确，保存配置

 

三层交换机配置交换机的默认网关，即配置交换机的默认路由

Ruijie>enable

Ruijie#configure terminal

Ruijie(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.254 ——>设置交换机的默认网关为192.168.1.254

Ruijie(config)#end

Ruijie#write ——>确认配置正确，保存配置

 

查看配置

二层交换机查看网关配置的命令如下：

Ruijie#show ip redirects

default-gateway: 192.168.1.254

 

三层层交换机查看网关配置的命令如下：

Ruijie#show ip route

Codes: C – connected, S – static, R – RIP, B – BGP

O – OSPF, IA – OSPF inter area

N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2

E1 – OSPF external type 1, E2 – OSPF external type 2

i – IS-IS, su – IS-IS summary, L1 – IS-IS level-1, L2 – IS-IS level-2

ia – IS-IS inter area, * – candidate default

Gateway of last resort is 192.168.1.254 to network 0.0.0.0

S* 0.0.0.0/0 [1/0] via 192.168.1.254

 

二层交换机由于不支持路由口，只能使用SVI进行管理，三层交换机的设备管理地址可以采用SVI或路由口进行管理。

二层交换机：

二层交换机配置IP地址是用于管理设备使用，比如使用Telnet、SNMP等等。

配置命令：

Ruijie>enable

Ruijie#configure terminal

Ruijie(config)#interface vlan 1 ——>进入vlan接口，实际使用中建议使用非VLAN 1

Ruijie(config-if-VLAN 1)#ip address 192.168.1.1 255.255.255.0

Ruijie(config-if-VLAN 1)#end

Ruijie#write ——>确认配置正确，保存配置

 

说明：

1、如果不是vlan 1，是其他vlan，在进入vlan接口配置时，需要先创建相应的vlan，否则会提示失败。例如创建vlan 100的ip地址为192.168.100.1/24，命令如下：

Ruijie(config)#vlan 100

Ruijie(config-vlan)#exit

Ruijie(config)#interface vlan 100

Ruijie(config-if-VLAN 100)#ip address 192.168.100.1 255.255.255.0

Ruijie(config-if-VLAN 100)#end

Ruijie#

 

注意：二层交换机如果配置多个SVI，并配置地址，则原有已经UP并生效的SVI将会被shutdown。

 

2、如果要创建SVI的Secondary地址，在配置第二个地址的时候，后面再加一个secondary，否则会覆盖原有地址。

例如创建SVI 100的secondary地址为192.168.10.1/24可以通过如下命令实现:

Ruijie(config)#vlan 100

Ruijie(config-vlan)#exit

Ruijie(config)#interface vlan 100

Ruijie(config-if-VLAN 100)#ip address 192.168.100.1 255.255.255.0

Ruijie(config-if-VLAN 100)#ip address 192.168.10.1 255.255.255.0 secondary

Ruijie(config-if-VLAN 100)#end

Ruijie#

 

三层交换机：

三层交换机配置地址可用于管理，也可以用于通信，比如作为用户的网关。

配置方法1：

Ruijie>enable

Ruijie#configure terminal

Ruijie(config)#interface vlan 10

Ruijie(config-if-VLAN 10)#ip address 192.168.1.1 255.255.255.0

Ruijie(config-if-VLAN 10)#end

Ruijie#write ——>确认配置正确，保存配置

说明：如果不是vlan 1，是其他vlan，在进入vlan接口配置时，需要先创建相应的vlan，否则会提示失败。

 

配置方法2（需确保交换机是三层交换机）：

Ruijie>enable

Ruijie#configure terminal

Ruijie(config)#int FastEthernet 0/1

Ruijie(config-if-FastEthernet 0/1)#no switchport ——>将端口设置为三层口，配置IP地址之前必须要先变为三层口，否则无法配置IP地址

Ruijie(config-if-FastEthernet 0/1)#ip add 192.168.16.1 255.255.255.0

Ruijie(config-if-FastEthernet 0/1)#end

Ruijie#write ——>确认配置正确，保存配置

 

查看配置

Ruijie#show ip int brief

Interface IP-Address(Pri) IP-Address(Sec) Status Protocol

GigabitEthernet 0/1 192.168.16.1/24 no address up up

VLAN 10 192.168.1.1/24 no address up up

VLAN 100 192.168.100.1/24 192.168.10.1/24 up up

 

 

如果管理员忘记登陆密码，无法进入到配置模式进行配置，那么此时需要使用配置线进入CTRL层进行密码恢复，需要保留之前的配置信息。

注：

1、此方式下只是提供首次无密码登录设备，设备原配置不会丢失；

2、若首次无密码登录设备后，未修改密码情况下退出登录设备，仍会要求使用密码登录。

 

 

操作步骤

 

1、手动对设备进行下电重启，出现Ctrl+C 提示时在键盘上同时按下CTRL键和C键，进入以下菜单。

2、data # cd /mnt/data 进入data的目录

3、data #vi config.text 进入config.text文件

4、用键盘的上下左右键移动光标，找到对应的密码的配置，连续按两次dd，删除整行命令，最后按esc，输入：wq，退出保存文件，然后直接reboot就行。

 

5、如果删错了配置，按esc，输入：q! 强制退出文档，之后再vi config.text进入文档

 

一、功能说明：
正式版本rboot shell封掉后，不支持ctrl+c 这种方式做密码恢复的，只能通过ctrl+B的方式，进入Boot无密码登录设备查看或修改设备密码

注：
1、此方式下只是提供首次无密码登录设备，设备原配置不会丢失；2、若首次无密码登录设备后，未修改密码情况下退出登录设备，仍会要求使用密码登录。

二、操作步骤：
|步骤一：Ctrl+B进入BOOT模式
设备下电重启后，当看到Ctrl+B提示，连续按Ctrl+B，进入boot界面。
示例如下：

 

步骤二：进入Scattered utilities菜单

 

步骤三：确定无密码启动主程序

步骤四：无密码进入系统后，可查看原用户名和密码；若原密码加密，可选择修改新用户名和密码

步骤五：功能验证

重新登入交换机，用新的用户名和密码登入，确认能登入成功

 

 

 

恢复出厂设置

一、功能说明：
现有12.x版本shell层操作恢复出厂。
注：恢复出厂后，所有的配置都会丢失，需要重新配置。重新配置时可以参考原有配置。

二、操作步骤：
步骤一：开机进入Rboot
设备刚开机或重新启动时连续按Ctrl+c，进入Rboot界面。示例如下：

步骤二：进入shell
在Rboot菜单中按4进入4. Scattered utilities.，再次按4进入Rboot shell。示例如下：

步骤三：执行如下命令：将现有配置文件更改成备份文件，重启设备，重启后设备是空配置状态。示例如下：

 

 

 

录像机的人数统计功能是对人数及人群流动方向等信息进行有效统计，当检测结果符合设定的规则时，触发联动报警。

▸前提条件：人数统计功能属于前智能，需要前端相机支持该功能。

 

▸相机安装三要素：场景光照、人流方向、安装高度。

▸场景光照：场景亮度要有所保障，至少保证区域内人员头和肩的轮廓清楚。

▸人流方向：人流方向相对单一，相机正对人流方向，客流统计会比较准确。

▸安装高度：相机建议安装在出入口的正上方，高度在2.5M-3M之间，相机焦距不同，高度会有细微区别。

▸本内容以HD7140X-E2, 2.1mm焦距的双目客流为例

操作步骤

步骤一

进入主菜单，选择【智能】>【参数设置】>【智能方案】，选择要设置的通道，再选择【人数统计】

步骤二

选择【智能】>【参数设置】>【人数统计】，绘制检测区域以及人流穿越方向的规则线，单击右键结束绘制配置，点击确定返回

注：部分双目相机需要单独网页做标定配置

web端标定配置：进入【设置】-【事件管理】-【人数统计】-【标定配置】，配置方式如下图所示，（如未做地面标定，有可能会出现统计不准的现象）

步骤三

单击“参数设置”图标，可设置客流统计相关参数

参数说明

▸OSD叠加 ： 选择“OSD叠加”，可以在监视画面中显示进入和离开的人数统计。单击“清零”，可将统计清零
▸最大检测高度： 设置物体或人站立时触发报警最大检测高度
▸最小检测高度：设置物体或人站立时触发报警最小检测高度
▸人数统计报警：设置进入人数、离开人数、滞留人数的数量，达到限制数量时触发报警

步骤四

单击“联动” 图标，可配置对应的联动项

步骤五

配置完成后点击保存，设置完成

人数统计报表查询
步骤：登录本地界面主菜单，选择【智能】 > 【智能搜索】 > 【人数统计】，选择对应查询通道，规则选择人数统计、报表类型、开始时间、结束时间和人数统计方向，然后单击“搜索”