君逍遥o

2）对于三层交换机，配置默认网关属于静态路由，当然设备也可以通过动态路由协议来学习网络路由，实现远程管理。1）配置默认网关是二层交换机需要进行远程跨网段管理时的必配功能。三层交换机配置交换机的默认网关，即配置交换机的默认路由。二层交换机配置管理IP地址的默认网关。

1、如果不是vlan 1，是其他vlan，在进入vlan接口配置时，需要先创建相应的vlan，否则会提示失败。2、如果要创建SVI的Secondary地址，在配置第二个地址的时候，后面再加一个secondary，否则会覆盖原有地址。如果不是vlan 1，是其他vlan，在进入vlan接口配置时，需要先创建相应的vlan，否则会提示失败。注意：二层交换机如果配置多个SVI，并配置地址，则原有已经UP并生效的SVI将会被shutdown。三层交换机配置地址可用于管理，也可以用于通信，比如作为用户的网关。

说明：交换机名称用于标识一台设备的名字，在实际应用过程中可以根据需求进行命名。，可以使用以下命令修改交换机的命名。默认大多数设备的名字是。

注意：debug调试命令会占用CPU资源，从而对系统的运行造成影响，因此在调试完成后应立即用undebug all命令关闭调试。注意：debug调试命令会占用CPU资源，从而对系统的运行造成影响，因此在调试完成后应立即用undebug all命令关闭调试。2、AC上show vlan 查看允许vlan是否和IDC端隧道vlan一致。IDC端mli口的允许vlan必须和AC端对应隧道接口的允许vlan一致。1、 在IDC设备上show dot wds查看是否有关联信息。

通过IDC工业网关采集CNC数据，通过AP、AC上传至客户CNC智能信息管理系统做大数据处理，统计分析机台产能、设备稼动率、刀具信息，给出预测性维护等信息，帮助企业节约人力资源、降低刀具损耗，提升管理效率。

RG-WS7208-A多业务无线控制器是锐捷网络推出的面向下一代高速无线网络的无线控制器产品。可部署在任何2层或3层网络结构中，无需改动任何网络架构和硬件设备，从而提供无缝的安全无线网络控制。RG-WS7208-A支持无线接入点的管理，集中转发模式下，通过License 的升级，最大可支持256个(A系列面板512个)AP的管理；本地转发模式下，通过License的升级，最大可支持1000个AP(A系列面板2000个)AP的管理。

RG-WS7204-A多业务无线控制器是锐捷网络推出的面向下一代高速无线网络的无线控制器产品。可部署在任何2层或3层网络结构中，无需改动任何网络架构和硬件设备，从而提供无缝的安全无线网络控制。RG-WS7204-A支持无线接入点的管理，集中转发模式下，通过License 的升级，最大可支持128个(A系列面板256个)AP的管理；本地转发模式下，通过License的升级，最大可支持800个(A系列面板1600个)AP的管理。

RG-WS6512高性能无线控制器是锐捷网络推出的面向下一代高速无线网络的无线控制器产品。可部署在任何2层或3层网络结构中，无需改动任何网络架构和硬件设备，从而提供无缝的安全无线网络控制。RG-WS6512起始支持128个无线接入点的管理，通过License 的升级，最大可支持1152无线接入点的管理。

RG-WS6108高性能无线控制器是锐捷网络推出的面向下一代高速无线网络的无线控制器产品。可突破三层网络保持与AP的通信，部署在任何2层或3层网络结构中，无需改动任何网络架构和硬件设备，从而提供无缝的安全无线网络控制。RG-WS6108起始支持32个无线接入点的管理，通过license 的升级，最大可支持320个无线接入点的管理。

无线机联网工业网关IDC系列产品是锐捷网络自研推出的工业级无线物联网网关解决方案，适用于无线生产场景，契合工业4.0 应用需求。IDC系列产品提供提供RS485/RS232/百兆LNA口用以RS485/RS232/以太网口设备接入实现数据解析以及透传；上联采用2.4G&5G/5G&5G双路WIFI接入WLAN连接到服务器，实现对终端设备的控制及信息收集。设备温度等级、电源电压输入、静电、EMC、振动等均符合工业等级标准，可以适应多种工业级严酷环境，实现数据高可靠传输。

通过web可视化操作界面对防火墙进行配置管理，配置Ge0/1口的管理功能。

随着社交网络、云计算、大数据等新热点的出现，互联网迈向了历史上从未有过的繁荣阶段，随之而来的信息化安全问题日益复杂，传统安全建设模式面临着巨大挑战。锐捷网络从市场实际需求出发，结合多年的技术积累与“下一代防火墙”的发展趋势，推出了RG-WALL 1600-Z系列下一代防火墙。RG-WALL 1600-Z系列下一代防火墙采用基于DPDK的高性能网络转发业务平台，提供主动资产发现、智能策略管家、一键故障分析功能来简化产品上线及运维；

如果大部分网站，特别是知名网站也出现，则将PC接到18K上上连环境中去测试，看是否正常，如果问题依旧，则排查上联设备或者在边界路由器上进行相关抓包行为排查报文是否有发送出去，是否有收到回应报文；如果没有落在AM的范围里面，则无法转发数据。（6）如果ping没有丢包，但是网站打开很慢，甚至无法打开，则先确认是某些网站还是所有网站，如果是某些网站慢，可能是网站的问题。（7）如果报文交互正常，但是有msc卡，则查看是否有pbr的配置，并且上行和下行的配置路径是否一致，如下图所示，如果在线则往下排查。

设备无法动态获取IPv4地址或者动态获取的IPv4地址异常

dot1x mac-auth-bypass vlan (vlan-list) //选配，接口下配置，可基于用户认证的vlan范围，启用无感知认证。（3）配置了 dot1x mac-auth-bypass valid-ip-auth以后，动态用户必须先获取到IP地址，在snooping表中有相应的条目了才能会发起无感知。"valid ip mab" : "none")-----》需要获取ip后进行mab认证。

如果SAM上有提示，根据提示配置。"ip mab unset ip" : \----》获取ip后进行mab认证的用户ip失效了。"ip mab unset ip" : \----》获取ip后进行mab认证的用户ip失效了。"valid ip mab" : "none")-----》需要获取ip后进行mab认证。"valid ip mab" : "none")-----》需要获取ip后进行mab认证。

但是前提是radius-server timeout xxx，radius是默认5s，重传3次，共20s超时后才会到none认证，但是portal默认9秒没有响应就超时。如果SAM故障，逃生也配置了，但是逃生功能不生效认证的时候“提示认证设超时，设备未响应”，注意查看下是否配置了 none认证。（1）留意页面上认证失败的提示，以及到SAM上去看认证失败提示，跟进提示先做基础的故障定位，检查是否是没有满足SAM校验条件。（1）没有满足SAM的校验条件，导致认证不通过。1.删除none认证；

（4）确定接口是否开启了WEB认证防私设功能，确认是否开启ip dhcp snooping功能，并且IP地址是否通过动态获取的，web防私设要跟dhcp snooping表项联动，如果查找不到snooping表，web认证重定向不出来；（9）如果PC和eportal连通性正常，则通过同时在PC和eportal上开启抓包，并且记录下PC上跳转的URL，以及eportal服务器上的log信息，找相应的eportal研发处理。所以，如果PC上的URL无法正常跳转，则问题主要出在PC和18K这段；

锐捷网络极简X SDN解决方案各场景各组件推荐配置模板：②极简X SDN大二层网络

锐捷网络极简X SDN解决方案各场景各组件推荐配置模板：①普通极简大二层网络

以XXXXXX人民医院的拓扑为例，传统的安全部署均部署在出口或者服务器区，这种安全的部署可以有效的进行南北向的安全防护，但是对于东西向的防护与传播无能力为。这种部署模式会出现几种典型问题：1、安全防御系统大多部署在出口/数据中心区域，可以有效的防止南北向扩散，

替换背景：MAC地址为80:05:88:1e:e0:ea的设备出现故障，需要使用MAC地址为80:05:88:1e:e0:eb的设备进行替换，通过以下操作，将同型号同版本的设备，零配置接入相同位置的网络，即可自动上线。1、新设备自动替换故障设备-关闭，替换、还原设备时，默认下发的配置-最新启动配置。注：

1、核心交换机需要使用vlan 1 作为零配置上线交换机的管理网关vlan，并且要在svi口下使用dhcp relay指向INC-PRO的ip地址2、零配置上线的交换机需要升级到方案指定的版本，可参考“04 方案组件及参数”章节

随着网络的发展，客户越发关注运维上的高效，提倡智能运维或自动化运维，当前锐捷、华三、华为、思科、SDN都具备自动化运维功能。该方案可以降低客户运维的成本，同时提高运维的效率，提高运维水平的一个有效手段。目前主要考虑同准入管控和策略随行配合推广使用，覆盖的行业有：高教、医疗等一些行业锐捷自动化运维方案 主要包括如下几个重要功能：1）设备零配置上线：设备上电入网后，可通过RG-INC-PRO控制器自动完成对设备的配置下发和维护工作，无需人工登陆到设备上进行配置；

1、某高校存在两个校区，每个校区各自部署一台N18K，不同校区用户网关在各自校区的N18K上；2、要求终端在A校区获取到A网段，在B校区获取到B网段。

对于客户网络中，若存在N18k下联端口需要开启认证但该端口又有哑终端等非认证终端接入的场景下，一般情况下若非认证哑终端与认证终端属于不同业务子网（即不同网段），则可以针对哑终端作准入管控并配置其为免认证子网，从而实现非认证哑终端的准入。

在配置网段策略ACL功能之前，必须先配置访问列表，访问列表的配置说明请参考IP访问列表章节说明。?在全局配置模式下使用命令开启网段策略ACL功能。?配置网段策略ACL例外口（在接口模式下使用命令开启全局网段策略ACL例外口功能）。

1、INC和SAM规划并配置用户组信息、整网策略随行相关的策略；2、规划并配置临时IP地址池以及各认证终端组（用户组）的地址池；3、在SAM+规划配置用户组，用户开户时关联该用户组或者用户使用批量操修改关联到相应的用户组；4、在N18K等相关设备上配置ACL或者PBR，实现终端的策略随行。

1、SMP默认不下发用户组信息至N18k，因此需要在SMP上定制属性，下发用户组2、终端测试有线1x、web、mab认证登录，其登录方式与效果与N18k对接SAM时的效果一致，除接口开启纯1x认证这种认证方式外，其他认证情况都需要经过 获取临时地址->临时地址到期->终端被踢下线->终端使用新地址（绑定了用户组的地址段地址）重新认证的过程。3、当使用QINQ组网方式时，N18k会上传双层vlan到SMP，但是由于SMP无法识别双层vlan，因此只能记录外层vlan信息。

2.1.1 INC上区域的创建、设备凭证的添加、网络模板的创建，如下图几个模块2.1.2 交换机可以先纳管到INC中，如下模块【风险】以下页面红框的配置操作属于实施阶段的操作，若在运维阶段要进行相关配置操作，请评估风险影响且征得客户同意后再操作。若您不清楚造成的影响，请不要操作，请联系专业的锐捷售后工程师进行评估后再决定是否操作。1）方案需要交换机的版本必须是配套版本，请参考“方案组件及参数指标”章节，将交换机升级至对应版本，该过程会断网，请在业务低峰期操作。

3、 还可以将其部署在非策略随行区域 ，这样不管用什么账号认证都获取到非策略随行区域的ip和权限（如果公共权限足够满足用户需求，这样更安全），部署了公 共pc进行权限切换的场景不应该要求ip地址不变，只应该部署ip权限不变。1、无线1X用户，由于认证NAS非N18K，故无法实现基于用户终端组分配IP，也无法实现策略随行，因此在做无线1X规划的时候，重点考虑无线1X的免认证以及是否需要策略随行。4、 或者公共终端采用静态 IP 地址方式部署，权限固定，不存在终端切换需要 IP 地址切换的情况。

1、极简X中针对1X/WEB/MAB的认证流程以及报文交互没有任何改变或者不同，SAM也没有新增功能或者方案适配的改动。唯一的不同就是设备端新增了对radius CLASS 25属性的识别，而这个属性在传统极简的SAM accept报文中原本就携带了，只是原先没有利用识别而已。（传统极简识别filter-id 11属性）。

N18K(config)#of controller-ip (RG-INC-ip) port 6653 interface (loopback 0) //指定RG-INC的ip地址及本端的出接口，SDN控制器为三台集群时候，需要配置of 命令3条，指定3个RG-INC ip。业务网开启准入管控后，新终端入网，ARP报文会被packet in到控制器，控制器的待审批列表，有相应的表项，并提示原因为“首次接入”，首次入网终端MAC显示为黄色，点击绿色勾图标，“同意“即可上网。

N18K(config)#of controller-ip (RG-INC-PRO ip) port 6653 interface (loopback 0) //指定RG-INC-PRO的ip地址及本端的出接口，SDN控制器为三台集群时候，需要配置of 命令3条，指定3个RG-INC-PRO ip。终端添加时，仅需要添加MAC和业务网即可，如果所对应的业务网，已经创建了用户组，则直接在该用户组下添加终端MAC，否则，在未分组列表中，添加用户MAC和对应业务网。

业务网开启准入管控后，新终端入网，ARP报文会被packet in到控制器，控制器的待审批列表，有相应的表项，并提示原因为“首次接入”，首次入网终端MAC显示为黄色，点击绿色勾图标，“同意“即可上网。过了免管控阶段后，新入网的终端就会出现在首页“待审批数”中，点击“待审批数”圆圈，进入“准入管控”页面，待审批列表审批终端。终端添加时，仅需要添加MAC和业务网即可，如果所对应的业务网，已经创建了用户组，则直接在该用户组下添加终端MAC，否则，在未分组列表中，添加用户MAC和对应业务网。

1、学校哑终端业务按照分工界面划分了很多的业务子网，分属于不同的管理部门，比如后勤，保卫处等，这些业务子网的哑终端日常的入网准入审批， IP 地址分配等，网络中心是不需要参与的，希望下放权限给对应的业务部门自行管理。2、INC 上面通过不同的用户权限账号实现分级分权审批，通过创建不同的 tenant 属性的分级分权账号，各自关联对应能管理的业务子网，实现有限的审批权限，同时不同账号仅能看到自身业务子网关联的数据。

1.1 用户上网前，dhcp获取和arp学习1.2 通过二层引流或镜像，在旁挂设备上捕获arp/dhcp报文1.3 将捕获到的arp/dhcp报文pack-in给控制器1.4 控制器学习或审批后，下发放通表项1.5 用户发起访问（发出ip报文）1.6 终端访问报文上行到出口1.7 终端访问报文下行返回1.8 在现网网关上配置PBR，强行将下行三层转发流量引流到旁挂管控设备1.9 根据SDN控制器管控终端放通与否，旁挂设备决定是否将下行流量引回网关。

不发ARP报文的哑终端建议开启子网准入管控。通过准入管控下发静态ARP后，后续打印机反复开关机就不需要每次都进行主动打通。二、说明：1、准入管控是依赖于终端主动的发送ARP报文，而后才能被网关设备packin，所以在配置割接初期，或者哑终端等可能无法及时主动发送ARP，这样设备跟控制器均无法感知到终端的存在，也就无法收集到它们的IP+MAC信息。主要用于项目初期就能主动发现所有在线终端，主动管控审批，无需被动响应。2、在ARP。

动态IP地址哑终端准入管控场景的特殊性l、由于哑终端没有认证终端组属性也没有AM规则等，常规接入网络将获取临时地址或者是普通地址，无法拿到该业务子网定义的网段IP，并且如何保证每次都能获取到同样的固定IP，以便准入管控确认终端身份是合法的，这些是动态IP场景下需要特殊考虑的。2、极简X方案要求人工主动收集这部分的动态准入终端的IP,MAC,名称等信息，通过Excel模板导入ONC控制器，下发设备端进行绑定生效。3、该场景终端支持泛载接入。

1、若网络为完全新建的网络，或者需要部署INC，并且通过INC新增业务，请按照正常的部署流程去操作即可2.1.1 INC上区域的创建、设备凭证的添加、网络模板的创建，如下图几个模块2.1.2 交换机可以先纳管到INC中，如下模块【风险】以下页面红框的配置操作属于实施阶段的操作，若在运维阶段要进行相关配置操作，请评估风险影响且征得客户同意后再操作。若您不清楚造成的影响，请不要操作，请联系专业的锐捷售后工程师进行评估后再决定是否操作。