目录Ⅰ DMZ口和MGMT口说明Ⅱ S31和S36接口转换Ⅲ M51接口转换 Ⅰ DMZ口和MGMT口说明一、不要使用MGMT管理口作为业务口     MGMT口直接在CPU芯片上，无法实现数据流的硬件加速（有MGMT口的设备有：M5100、M6600、X8500以及X9300），数据流硬件加速过程如下（下图以X9300为例）（1）新建流三次握手时经过cpu处理（2）已建立会话的流量经过NP加速芯片处理，不再经过CPU（3）MGMT口直连在CPU芯片上，无法享受硬件加速二、DMZ接口属性说明（1）DMZ接口与其他接口一样，在物理特性、软件特性上无任何不同；同时各型号DMZ接口都连接在加速芯片上

目录 Ⅰ 地址映射（1对1IP映射）Ⅱ 端口映射（1对多端口映射） Ⅰ 地址映射（1对1IP映射）一、组网需求       如下图所示，用户已完成了防火墙基础配置，现在需要将内网的一台web服务器（192.168.1.2）需要全映射到外网口的地址（202.1.1.11），让外网的用户能访问到此服务器。       同时内网用户也可以用公网地址访问服务器。二、网络拓扑三、配置要点      1、基础上网配置      2、配置虚拟ip（DNAT）      3、配置安全策略注意：四、操作步骤      1、基础上网配置           配置详细过程请参照“路由模式典型功能--单线上网--静态

目录Ⅰ NFPP应用场景和功能介绍Ⅱ NFPP配置案例 Ⅰ NFPP应用场景和功能介绍应用场景：     NFPP作为保护交换机自身CPU不受攻击，不能替代防范ARP欺骗相关的安全功能，设备缺省支持并打开NFPP，建议保留开启并适当调整。     调整原则：      1、在接入设备上，通常无需调整，因为非网关设备，没有配置网关IP地址也不会运行一些复杂路由，管理协议等，无需额外消耗CPU，所以很少会遭受攻击。2、在汇聚设备上，默认的基于端口的限速100PPS/攻击200PPS阈值偏小，当端口下用户较多，ARP攻击较多时，可能导致用户正常的ARP报文丢弃，导致用户端丢包，需要放大。经验值调整为

思科、华为、华三、锐捷网络设备巡检命令思科01思科交换机巡检命令02思科交换机基本配置命令华三华为锐捷思科01思科交换机巡检命令showinterfacestats：查看交换机所有接口当前接口流量showrunning-config：查看当前设备配置showversion：查看IOS版本信息及设备正常运行时间showclock：查看设备时钟信息showvtpstatus：查看交换机vtp配置模式showvtppassword：查看交换机vtp配置口令showenvall：查看设备温度，电源和风扇运转参数及是否报警showinventory：调取设备内部板卡出厂模块型号及序列号showspann

目录Ⅰ 端口聚合配置Ⅱ IP-MAC地址绑定Ⅲ 软交换配置 Ⅰ 端口聚合配置一、端口聚合（LACP）应用场景该功能高端设备上支持，S3100，S3600型号不支持。1、在带宽比较紧张的情况下，可以通过逻辑聚合可以扩展带宽到原链路的n倍2、在需要对链路进行动态备份的情况下，可以通过配置链路聚合实现同一聚合组各个成员端口之间彼此动态备份。二、端口聚合（LACP）模式LACP的端口可以支持如下几种模式：static（静态），passive，和active静态：人为配置的聚合组，不允许系统自动添加或删除手工或静态聚合端口。passive：被动模式，该模式下端口不会主动发送LACPDU报文，在接收到对端

一、相关知识补充1、ospf基本概述OSPF（OpenShortestPathFirst）是一种链路状态路由协议，用于在计算机网络中进行路由选择。它是内部网关协议（IGP）之一，常用于大规模企业网络或互联网服务提供商的网络中。OSPF通过交换链路状态信息来维护网络拓扑，并使用Dijkstra算法计算出最短路径。它支持可变长度子网掩码（VLSM）和类别无关路由（CIDR），能够适应复杂的网络结构。OSPF具有以下特点：支持分层设计：网络可以被划分为不同的区域（Area），每个区域有各自的路由器和链路状态数据库。使用分层的设计来减少链路状态数据库的大小，提高路由计算效率。支持路由器间的动态邻居关系

目录Ⅰ MAC地址绑定一、功能简介二、配置命令Ⅱ IPsourceguard应用场景功能简介一、组网需求二、组网拓扑三、配置要点四、配置步骤 1、开启核心设备的DHCP服务功能2、创建核心设备的IP地址，即用户的网关地址3、创建核心设备的DHCP地址池五、功能验证 Ⅰ MAC地址绑定一、功能简介每一台电脑都有一个全球唯一的标识：mac地址。交换机是根据学习到的mac地址和交换机端口的关系表转发数据。MAC地址静态绑定可以减少交换机MAC地址的学习，因为配置了MAC静态绑定后，交换机就不再学习该MAC地址的信息了。通过MAC地址的静态绑定，可以让某个终端（电脑、PDA或其他网络设备）只能接在交换

目录01 NAT简介02 源地址转换2.1 上网配置-ADSL拨号（PPPoE）出口2.2 上网配置——无交换口路由器2.3 上网配置——固化交换模块路由器2.4 上网配置——多出口及permit-inside功能03 外部源地址转换04 NAT实现TCP负载均衡05 双向NAT转换06 VRF NAT07 常见问题和故障7.1 常见问题7.2 常见故障 01 NAT简介功能介绍：NAT：网络地址转换。正常数据转发时，IP头部的源和目的地址以及端口号是不会被更改的，而使用了NAT技术后，它将更改报文头部内容，实现隐藏内外部主机真实地址、多台主机共享少量IP访问内外部网络、解决IP地址空间重叠、

目录一、组网需求二、组网拓扑三、配置要点四、配置步骤五、验证命令 一、组网需求     利用接入设备实现接入用户，只有绑定的ip+MAC才可以与外网通信，没有绑定的不能通信。二、组网拓扑三、配置要点1、全局绑定IP+MAC地址2、配置例外接口（没有绑定限制）3、开启address-bind功能四、配置步骤注意：配置之前建议使用Ruijie#showinterfacestatus查看接口名称，常用接口名称有FastEthernet（百兆）、GigabitEthernet（千兆）和TenGigabitEthernet(万兆),以下配置以百兆接口为例。Ruijie>enableRuijie#conf

目录Ⅰ 创建管理IPⅡ 配置默认网关Ⅲ Telnet方式登录Ⅳ SSH方式登录Ⅴ CONSOLE方式登录 Ⅰ 创建管理IP二层交换机由于不支持路由口，只能使用SVI进行管理，三层交换机的设备管理地址可以采用SVI或路由口进行管理。二层交换机：二层交换机配置IP地址是用于管理设备使用，比如使用Telnet、SNMP等等。配置命令：Ruijie>enable Ruijie#configureterminalRuijie(config)#interfacevlan1    ------>进入vlan接口，实际使用中建议使用非VLAN1Ruijie(config-if-VLAN1)#ipaddress