锐捷交换机、路由器常用命令集

[ 2008-5-11 12:26:00 | By: 绿茶 ]

交换机配置命令模式

EXEC模式： 用户模式switch>

交换机信息的查看，简单测试命令 特权模式switch#

查看、管理交换机配置信息，测试、调试 配置模式：

全局配置模式switch(config)# 配置交换机的整体参数

接口配置模式switch(config-if)# 配置交换机的接口参数 进入全局配置模式

Switch＃c onfigure terminal Switch(config)#exit Switch#

进入接口配置模式

Switch(config)#interface fastethernet 0/1 Switch(config-if)#exit Switch(config)#

从子模式下直接返回特权模式 Switch(config-if)#end Switch#

命令行其他功能 获得帮助 switch#? switch#show ? 命令简写

全写：switch# configure terminal 简写：Switch# config 使用历史命令 Switch# (向上键) Switch# (向下键)

配置交换机Telnet功能

配置远程登陆密码

Switch(config)#enable secret level 1 0 ruijie 配置进入特权模式密码

Switch (config)#enable secret level 15 0 ruijie 为交换机配置管理IP

Switch (config)#interface vlan 1 Switch (config-if)#no shutdown

Switch (config-if)#ip address 192.168.1.1 255.255.255.0 Switch (config-if)#end

配置文件的管理 保存配置

将当前运行的参数保存到flash 中用于系统初始化时初始化参数 Switch#copy running-config startup-config Switch#write memory Switch#write 删除配置

永久性的删除flash 中不需要的文件 使用命令delete flash:config.text 删除当前的配置： 在配置命令前加no 例：switch(config-if)# no ip address 查看配置文件内容

Switch#show configure 查看保存在FLASH里的配置信息 Switch#show running-config 查看RAM里当前生效的配置

配置Port VLAN

创建VLAN10，将它命名为test的例子 Switch# configure terminal Switch(config)# vlan 10 Switch(config-vlan)# name test Switch(config-vlan)# end 把接口 0/10加入VLAN10 Switch# configure terminal

Switch(config)# interface fastethernet 0/10 Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan 10 Switch(config-if)# end 将一组接口加入某一个VLAN

Switch(config)#interface range fastethernet 0/1-8，0/15，0/20

Switch(config-if-range)# switchport access vlan 20

注：连续接口 0/1-8，不连续接口用逗号隔开，但一定要写明模块编号

配置Tag VLAN-Trunk 把Fa0/1配成Trunk口 Switch# configure terminal

Switch(config)# interface fastethernet0/1 Switch(config-if)# switchport mode trunk

把端口Fa0/20 配置为Trunk端口，但是不包含VLAN 2： Switch(config)# interface fastethernet 0/20

Switch(config-if)# switchport trunk allowed vlan remove 2 Switch(config-if)# end

Native VLAN 配置命令：

Switch(config-if)# switchport trunk native vlan 20 Switch(config-if)# end 注意：

每个Trunk口的缺省native VLAN是VLAN 1

在配置Trunk链路时，请确保连接链路两端的Trunk口属于相同的native VLAN

保存/清除VLAN信息 将VLAN信息保存到flash中 Switch#write memory 从flash中只清除VLAN信息 Switch#delete flash:vlan.dat 从RAM中删除VLAN

Switch(config)#no vlan VLAN-id

生成树协议的配置 开启生成树协议

Switch(config)#Spanning-tree 关闭生成树协议

Switch(config)#no Spanning-tree 配置生成树协议的类型

Switch(config)#Spanning-tree mode stp/rstp 锐捷全系列交换机默认使用MSTP协议 配置交换机优先级

Switch(config)#spanning-tree priority <0-61440> (“0”或“4096”的倍数、共16个、缺省32768) 恢复到缺省值

Switch(config)# no spanning-tree priority 配置交换机端口的优先级

Switch(config)#interface interface-type interface-number Switch(config-if)#spanning-tree port-priority number

配置STP、RSTP

Spanning Tree 的缺省配置： 关闭STP

STP Priority 是32768 STP port Priority 是128

STP port cost 根据端口速率自动判断 Hello Time 2秒

Forward-delay Time 15秒 Max-age Time 20秒

可通过spanning-tree reset 命令让spanning tree参数恢复到缺省配置

查看生成树协议配置 显示生成树状态

Switch#show spanning-tree 显示端口生成树协议的状态

Switch#show spanning-tree interface fastethernet <0-2/1-24>

配置aggregate port 将该接口加入一个AP

Switch＃c onfigure terminal

Switch(config) # interface interface-type interface-id Switch(config-if-range)#port-group port-group-number 如果这个AP不存在，可自动创建AG端口 查看聚合端口的汇总信息

Switch#show aggregateport summary 查看聚合端口的流量平衡方式

Switch#show aggregateport load-balance

路由器上配置telnet 第一步: 配置端口地址

RouterA# configure terminal ！进入全局配置模式

RouterA(config)# interface fastethernet 1/0

！进入路由器接口配置模式 RouterA(config-if)# ip address 192.168.0.1 255.255.255.0

！配置路由器管理接口IP地址 RouterA(config-if)# no shutdown ！开启路由器f 1/0接口

第二步：配置远程登录密码

RouterA(config)# line vty 0 4 ！进入路由器线路配置模式 RouterA(config-line)# login ！配置远程登录

RouterA(config-line)# password star ！设置路由器远程登录密码为 “star” RouterA(config-line)#end 第三步：配置路由器特权模式密码

RouterA(config)# enable secret star ！设置路由器特权模式密码为 “star” 或者

RouterA(config)# enable password star

查看配置文件

show version ！查看版本及引导信息 show running-config ！查看运行配置

show startup-config ！查看用户保存在NVRAM中的配置文件 保存配置文件

Router#copy running-config startup-config Router#write memory Router#write 删除配置文件

Router#delete flash:config.text ！删除初始配置文件

查看路由信息

router#show ip route

Codes: C - connected，S – static， R – RIP， O- OSPF IA - OSPF inter area，E1-OSPF external type 1 E2 - OSPF external type 2，* - candidate default

Gateway of last resort is 10.5.5.5 to network 0.0.0.0 172.16.0.0/24 is subnetted, 1 subnets

C 172.16.11.0 is directly connected, serial1/2

O E2 172.22.0.0/16 [110/20] via 10.3.3.3, 01:03:01, Serial1/2 S* 0.0.0.0/0 [1/0] via 10.5.5.5

静态路由配置命令

配置静态路由用命令ip route

router(config)#ip route [网络编号] [子网掩码] [转发路由器的IP地址/本地接口] 例：ip route 192.168.10.0 255.255.255.0 serial 1/2 例：ip route 192.168.10.0 255.255.255.0 172.16.2.1 静态路由描述转发路径的方式有两种 指向本地接口（即从本地某接口发出）

指向下一跳路由器直连接口的IP地址（即将数据包交给X.X.X.X）

配置默认路由：

router(config)#ip route 0.0.0.0 0.0.0.0 [转发路由器的IP地址/本地接口]

RIP路由协议的版本 RIPv1

有类路由协议，不支持VLSM 以广播的形式发送更新报文 不支持认证 RIPv2

无类路由协议，支持VLSM 以组播的形式发送更新报文 支持明文和MD5的认证

配置RIP协议 配置步骤

1、开启RIP路由协议进程 Router(config)#router rip

2、申请本路由器参与RIP协议的直连网段信息 Router(config-router)#network 192.168.1.0 3、指定RIP协议的版本2(默认是version1) Router(config-router)#version 2 4、在RIPv2版本中关闭自动汇总

Router(config-router)#no auto-summary

查看RIP配置信息 验证 RIP的配置

Router#show ip protocols 显示路由表的信息 Router#show ip route 清除 IP路由表的信息 Router#clear ip route 在控制台显示 RIP的工作状态 Router#debug ip rip

OSPF协议 OSPF配置如下：

1、创建loopback接口，定义ROUTE ID routerA(config)#interface loopback 10

routerA(config)#ip address 192.168.100.1 255.255.255.0 2、开启OSPF进程

routerA(config)#router ospf 10 10代表进程编号，只具有本地意义 3、申请直连网段

routerA(config-router)#network 10.1.1.0 0.0.0.255 area 0 注意反掩码和区域号

查看OSPF配置信息 验证 OSPF的配置 Router#show ip ospf 显示路由表的信息 Router#show ip route 清除 IP路由表的信息 Router#clear ip route 在控制台显示 OSPF的工作状态 Router#debug ip ospf

三层交换的路由功能

三层交换机默认开启路由功能

Switch(config)#ip routing (开启三层交换机路由功能)

三层交换机配置路由接口的两种方法 开启三层交换机物理接口的路由功能

Switch(config)#interface fastethernet 0/5 Switch(config-if)#no switchport

Switch(config-if)#ip address 192.168.1.1 255.255.255.0 Switch(config-if)#no shutdown 关闭物理接口路由功能

Switch(config-if)# switchport

采用SVI方式（switch virtual interface） Switch(config)#interface vlan 10

Switch(config-if)#ip address 192.168.1.1.255 255.255.0 Switch(config-if)#no shutdown

三层交换机和路由器相连的网络 方法一(SVI)：

Switch(config)#interface f0/10

Switch(config-if)#switchport access vlan 10 Switch(config-if)#exit

Switch(config)#interface vlan 10 switch(config-if)#ip address 192.168.10.1 255.255.255.0 Switch(config-if)#no shutdown 方法二(路由接口)：

Switch(config)#interface f0/10 Switch(config-if)#no switchport

Switch(config-if)#ip address 192.168.10.1 255.255.255.0 Switch(config-if)#no shutdown

三层交换机路由协议的配置 静态路由

Switch(config)#ip route x.x.x.x x.x.x.x [x.x.x.x/interface] RIP

Switch(config)#router rip

Switch(config-router)#network X.X.X.X Switch(config-router)#version 2 注：三层交换机不支持no auto-summary OSPF

Switch(config)#router ospf

Switch(config)#network X.X.X.X X.X.X.X area x

查看三层交换机路由配置 查看路由接口信息

Switch#show ip interface 查看路由表

Switch#show ip route 查看动态路由协议 Switch#show ip rip Switch#show ip ospf

PPP的配置 路由器上的配置

RA(config)#interface seriel 1/2 RA(config-if)# encapsulation ppp 注：路由器广域网默认封装方式为HDLC

PAP验证的配置 客户端（被验证方）

RA(config)#interface seril 0 RA(config-if)# encapsulation ppp

RA(config-if)#ppp pap sent-username ruijie password 123 服务端（验证方）

RB(config)#username ruijie password 123 RB(config)#interface seril 0 RB(config-if)# encapsulation ppp RB(config-if)#ppp authentication pap

CHAP认证配置 客户端（被验证方）

RA(config)#username RB password 123 RA(config)#interface serial 0 RA(config-if)#encapsulation ppp 服务端（验证方）

RB(config)#username RA password 123 RB(config)#interface serial 0 RB(config-if)#encapsulation ppp

RB(config-if)#ppp authentication chap

PPP认证的调试 特权模式下输入：

Router#show interfaces serial 1/2 Router#debug ppp authentication

交换机端口安全

安全违例产生于以下情况：

如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数 如果该端口收到一个源地址不属于端口上的安全地址的包 当安全违例产生时，你可以选择多种方式来处理违例：

Protect：当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包 Restrict：当违例产生时，将发送一个Trap通知

Shutdown：当违例产生时，将关闭端口并发送一个Trap通知

配置安全端口

端口安全最大连接数配置

switchport port-security ！打开该接口的端口安全功能 switchport port-security maximum

！设置接口上安全地址的最大个数，范围是1－128，缺省值为128 switchport port-security violation{protect|restrict |shutdown} ！设置处理违例的方式 注意：

1、端口安全功能只能在access端口上进行配置。

2、当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来。 端口的安全地址绑定

switchport port-security ！打开该接口的端口安全功能

switchport port-security mac-address mac-address ip-address ip-address ！手工配置接口上的安全地址 注意：

1、端口安全功能只能在access端口上进行配置 2、端口的安全地址绑定方式有:单MAC、单IP、MAC+IP

案例（一）

下面的例子是配置接口gigabitethernet1/3上的端口安全功能，设置最大地址个数为8，设置违例方式为protect

Switch# configure terminal

Switch(config)# interface gigabitethernet 1/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security

Switch(config-if)# switchport port-security maximum 8

Switch(config-if)# switchport port-security violation protect Switch(config-if)# end

案例（二）

下面的例子是配置接口fastethernet0/3上的端口安全功能，配置端口绑定地址，主机MAC为00d0.f800.073c，IP为192.168.12.202 Switch# configure terminal

Switch(config)# interface fastethernet 0/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security

Switch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address 192.168.12.202

Switch(config-if)# end

查看配置信息

查看所有接口的安全统计信息，包括最大安全地址数，当前安全地址数以及违例处理方式等 Switch#show port-security

Secure Port MaxSecureAddr CurrentAddr Security Action

----------------- -------- --------- --------------

Gi1/3 8 1 Protect 查看安全地址信息

Switch# show port-security address

Vlan Mac Address IP Address Type Port Remaining Age(mins) ---- ----------- ---------- ------- --------- --------

1 00d0.f800.073c 192.168.12.202 Configured Fa0/3 8 1

IP标准访问列表的配置 1.定义标准ACL

编号的标准访问列表 Router(config)#access-list <1-99> {permit|deny} 源地址 [反掩码]

命名的标准访问列表

switch(config)# ip access-list standard < name > switch(config-std-nacl)#{permit|deny} 源地址 [反掩码] 2.应用ACL到接口

Router(config-if)#ip access-group <1-99> { in | out }

IP扩展访问列表的配置 1.定义扩展的ACL 编号的扩展ACL

Router(config)#access-list <100-199> { permit /deny } 协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ] 命名的扩展ACL

ip access-list extended {name} { permit /deny } 协议 源地址 反掩码[源端口] 目的地址 反掩码 [ 目的端口 ] 2.应用ACL到接口

Router(config-if)#ip access-group <100-199> { in | out }

IP扩展访问列表配置实例(一) 如何创建一条扩展ACL

该ACL有一条ACE，用于允许指定网络（192.168.x..x）的所有主机以HTTP访问服务器172.168.12.3，但拒绝其它所有主机使用网络

Router (config)# access-list 103 permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www

Router # show access-lists 103

IP扩展访问列表配置实例(二)

access-list 115 deny udp any any eq 69 access-list 115 deny tcp any any eq 135 access-list 115 deny udp any any eq 135 access-list 115 deny udp any any eq 137 access-list 115 deny udp any any eq 138 access-list 115 deny tcp any any eq 139 access-list 115 deny udp any any eq 139 access-list 115 deny tcp any any eq 445 access-list 115 deny tcp any any eq 593 access-list 115 deny tcp any any eq 4444 access-list 115 permit ip any any

interface

ip access-group 115 in ip access-group 115 out 利用ACL隔离冲击波病毒

访问列表的验证 显示全部的访问列表 Router#show access-lists 显示指定的访问列表

Router#show access-lists <1-199> 显示接口的访问列表应用

Router#show ip interface 接口名称 接口编号

IP访问列表配置注意事项

1、一个端口在一个方向上只能应用一组ACL

2、锐捷全系列交换机可针对物理接口和SVI接口应用ACL 针对物理接口，只能配置入栈应用(In)

针对SVI（虚拟VLAN）接口，可以配置入栈（In）和出栈（Out）应用 3、访问列表的缺省规则是：拒绝所有

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－ NAT/NAPT的配置 NAT/NAPT的配置有两种 静态NAT/NAPT 动态NAT/NAPT 静态NAT/NAPT

需要向外网络提供信息服务的主机 永久的一对一IP地址映射关系 动态NAT/NAPT

只访问外网服务，不提供信息服务的主机 内部主机数可以大于全局IP地址数 最多访问外网主机数决定于全局IP地址数 临时的一对一IP地址映射关系 静态NAT 配置步骤

1、定义内网接口和外网接口

Router(config)#interface fastethernet 1/0 Router(config-if)#ip nat outside

Router(config)#interface fastethernet 1/1 Router(config-if)#ip nat inside 2、建立静态的映射关系

Router(config)#ip nat inside source static 192.168.1.7 200.8.7.3

静态NAPT

1、定义内网接口和外网接口

Router(config)#interface fastethernet 0 Router(config-if)#ip nat outside Router(config)#interface fastethernet 1 Router(config-if)#ip nat inside 2、建立静态的映射关系

Router(config)#ip nat inside source static tcp 192.168.1.7 1024 200.8.7.3 1024 Router(config)#ip nat inside source static udp 192.168.1.7 1024 200.8.7.3 1024

动态NAT配置

1、定义内网接口和外网接口 Router(config-if)#ip nat outside Router(config-if)#ip nat inside 2、定义内部本地地址范围

Router(config)#access-list 10 permit 192.168.1.0 0.0.0.255 3、定义内部全局地址池

Router(config)#ip nat pool abc 200.8.7.3 200.8.7.10 netmask 255.255.255.0 4、建立映射关系

Router(config)#ip nat inside source list 10 pool abc 动态NAPT配置

1、定义内网接口和外网接口 Router(config-if)#ip nat outside Router(config-if)#ip nat inside 2、定义内部本地地址范围

Router(config)#access-list 10 permit 192.168.1.0 0.0.0.255 3、定义内部全局地址池

Router(config)#ip nat pool abc 200.8.7.3 200.8.7.3 netmask 255.255.255.0 4、建立映射关系

Router(config)#ip nat inside source list 10 pool abc overload

NAT/NAPT的监视和维护命令 显示命令

show ip nat statistics 显示翻译统计

show ip nat translations [verbose] 显示活动翻译 清除状态命令

clear ip nat translation *

从NAT转换表中清除所有动态地址转换项