锐捷交换机、路由器常用命令集

EXEC模式：

用户模式switch>

交换机信息的查看，简单测试命令

模式switch# 

查看、管理交换机配置信息，测试、调试

配置模式：

全局配置模式switch(config)# 

配置交换机的整体参数

接口配置模式switch(config-if)#

配置交换机的接口参数

进入全局配置模式

Switch＃c onfigure terminal

Switch(config)#exit

Switch#

进入接口配置模式

Switch(config)#interface fastethernet 0/1

Switch(config-if)#exit

Switch(config)#

从子模式下直接返回模式

Switch(config-if)#end

Switch#

命令行其他功能

获得帮助

switch#?

 switch#show  ?

命令简写

全写：switch# configure terminal

简写：Switch# config

使用历史命令

Switch#  (向上键)

Switch#  (向下键)

配置交换机Telnet功能

配置远程登陆密码 

Switch(config)#enable secret level 1 0  ruijie     

配置进入模式密码

Switch (config)#enable secret level 15 0  ruijie

为交换机配置管理IP

Switch (config)#interface vlan 1

Switch (config-if)#no shutdown

Switch (config-if)#ip address 192.168.1.1 255.255.255.0

Switch (config-if)#end

配置文件的管理

保存配置

 将当前运行的参数保存到flash 中用于系统初始化时初始化参数

Switch#copy running-config startup-config 

Switch#write memory

Switch#write

删除配置

永久性的删除flash 中不需要的文件

使用命令delete flash:config.text 

删除当前的配置：  在配置命令前加no 

例：switch(config-if)# no ip address

查看配置文件内容

Switch#show configure    查看保存在FLASH里的配置信息

Switch#show running-config    查看RAM里当前生效的配置

配置Port VLAN

创建VLAN10，将它命名为test的例子

Switch# configure terminal

Switch(config)# vlan 10

Switch(config-vlan)# name test

Switch(config-vlan)# end 

把接口 0/10加入VLAN10 

Switch# configure terminal

Switch(config)# interface fastethernet 0/10

Switch(config-if)# switchport mode access

Switch(config-if)# switchport access vlan 10

Switch(config-if)# end

将一组接口加入某一个VLAN

Switch(config)#interface range fastethernet 0/1-8，0/15，0/20

Switch(config-if-range)# switchport access vlan 20

注：连续接口 0/1-8，不连续接口用逗号隔开，但一定要写明模块编号

配置Tag VLAN-Trunk

把Fa0/1配成Trunk口

Switch# configure terminal

Switch(config)# interface fastethernet0/1

Switch(config-if)# switchport mode trunk

把端口Fa0/20 配置为Trunk端口，但是不包含VLAN 2：

Switch(config)# interface fastethernet 0/20

Switch(config-if)# switchport trunk allowed vlan remove 2

Switch(config-if)# end

Native VLAN

配置命令：

Switch(config-if)# switchport  trunk native vlan 20

Switch(config-if)# end

注意： 

每个Trunk口的缺省native VLAN是VLAN 1

在配置Trunk链路时，请确保连接链路两端的Trunk口属于相同的native VLAN

保存/清除VLAN信息

将VLAN信息保存到flash中

Switch#write memory

从flash中只清除VLAN信息

Switch#delete flash:vlan.dat

从RAM中删除VLAN

Switch(config)#no vlan VLAN-id

生成树协议的配置

开启生成树协议

Switch(config)#Spanning-tree

关闭生成树协议

Switch(config)#no Spanning-tree

配置生成树协议的类型

Switch(config)#Spanning-tree mode stp/rstp

锐捷全系列交换机默认使用MSTP协议

配置交换机优先级

Switch(config)#spanning-tree priority <0-61440>  

     (“0”或“4096”的倍数、共16个、缺省32768)

恢复到缺省值

Switch(config)# no　spanning-tree priority

配置交换机端口的优先级

Switch(config)#interface interface-type   interface-number

Switch(config-if)#spanning-tree port-priority  number

配置STP、RSTP 

Spanning Tree 的缺省配置：

关闭STP

STP Priority 是32768

STP port Priority 是128

STP port cost 根据端口速率自动判断

Hello Time 2秒

Forward-delay Time 15秒

Max-age Time 20秒

可通过spanning-tree reset 命令让spanning tree参数恢复到缺省配置

查看生成树协议配置

显示生成树状态

Switch#show spanning-tree

显示端口生成树协议的状态

Switch#show spanning-tree interface fastethernet <0-2/1-24>

配置aggregate port 

将该接口加入一个AP

Switch＃c onfigure terminal 

Switch(config) # interface interface-type interface-id 

Switch(config-if-range)#port-group port-group-number

如果这个AP不存在，可自动创建AG端口

查看聚合端口的汇总信息

Switch#show aggregateport  summary

查看聚合端口的流量平衡方式

Switch#show aggregateport load-balance

路由器上配置telnet

第一步: 配置端口地址

RouterA# configure terminal      ！进入全局配置模式

RouterA(config)# interface fastethernet  1/0                           

                                                           ！进入路由器接口配置模式

RouterA(config-if)# ip address 192.168.0.1 255.255.255.0               

                                                           ！配置路由器管理接口IP地址

RouterA(config-if)# no shutdown      ！开启路由器f 1/0接口

第二步：配置远程登录密码

RouterA(config)# line vty 0 4                ！进入路由器线路配置模式

RouterA(config-line)# login                   ！配置远程登录

RouterA(config-line)# password star    ！设置路由器远程登录密码为 “star” 

RouterA(config-line)#end

第三步：配置路由器模式密码

RouterA(config)# enable secret star     ！设置路由器模式密码为 “star”

   或者         

RouterA(config)# enable password  star

查看配置文件

show version                           ！查看版本及引导信息

show running-config                ！查看运行配置

show startup-config                 ！查看用户保存在NVRAM中的配置文件

保存配置文件

Router#copy running-config startup-config 

Router#write memory

Router#write

删除配置文件

Router#delete flash:config.text   ！删除初始配置文件

查看路由信息

router#show ip route

Codes:  C - connected，S – static， R – RIP， O- OSPF

IA - OSPF inter area，E1-OSPF external type 1

E2 - OSPF external type 2，* - candidate default

Gateway of last resort is 10.5.5.5 to network 0.0.0.0

  172.16.0.0/24 is subnetted, 1 subnets

C   172.16.11.0 is directly connected, serial1/2

O   E2 172.22.0.0/16 [110/20] via 10.3.3.3, 01:03:01, Serial1/2

S*  0.0.0.0/0 [1/0] via 10.5.5.5

静态路由配置命令

配置静态路由用命令ip route 

router(config)#ip route [网络编号] [子网掩码] [转发路由器的IP地址/本地接口]

例：ip route 192.168.10.0 255.255.255.0  serial 1/2

例：ip route 192.168.10.0 255.255.255.0 172.16.2.1

静态路由描述转发路径的方式有两种

指向本地接口（即从本地某接口发出）

指向下一跳路由器直连接口的IP地址（即将数据包交给X.X.X.X）

配置默认路由：

router(config)#ip route 0.0.0.0 0.0.0.0 [转发路由器的IP地址/本地接口]

RIP路由协议的版本

RIPv1

有类路由协议，不支持VLSM

以广播的形式发送更新报文

不支持认证

RIPv2

无类路由协议，支持VLSM

以组播的形式发送更新报文

支持明文和MD5的认证

配置RIP协议

配置步骤

1、开启RIP路由协议进程

Router(config)#router rip

2、申请本路由器参与RIP协议的直连网段信息

Router(config-router)#network 192.168.1.0

3、指定RIP协议的版本2(默认是version1)

Router(config-router)#version  2

4、在RIPv2版本中关闭自动汇总

Router(config-router)#no auto-summary

查看RIP配置信息

验证 RIP的配置

Router#show ip protocols

显示路由表的信息

Router#show ip route

清除 IP路由表的信息

Router#clear ip route 

在控制台显示 RIP的工作状态

Router#debug ip rip

OSPF协议

OSPF配置如下：

1、创建loopback接口，定义ROUTE ID

routerA(config)#interface loopback 10

routerA(config)#ip address 192.168.100.1 255.255.255.0

2、开启OSPF进程

routerA(config)#router ospf 10

10代表进程编号，只具有本地意义

3、申请直连网段

routerA(config-router)#network 10.1.1.0 0.0.0.255 area 0

 注意反掩码和区域号

查看OSPF配置信息

验证 OSPF的配置

Router#show ip ospf

显示路由表的信息

Router#show ip route

清除 IP路由表的信息

Router#clear ip route 

在控制台显示 OSPF的工作状态

Router#debug ip ospf

三层交换的路由功能

三层交换机默认开启路由功能

Switch(config)#ip routing   (开启三层交换机路由功能)

三层交换机配置路由接口的两种方法

开启三层交换机物理接口的路由功能

Switch(config)#interface fastethernet 0/5

Switch(config-if)#no switchport

Switch(config-if)#ip address 192.168.1.1 255.255.255.0

Switch(config-if)#no shutdown

关闭物理接口路由功能

Switch(config-if)# switchport

采用SVI方式（switch virtual interface）

Switch(config)#interface vlan 10

Switch(config-if)#ip address 192.168.1.1.255 255.255.0

Switch(config-if)#no shutdown

三层交换机和路由器相连的网络

方法一(SVI)：

Switch(config)#interface f0/10

Switch(config-if)#switchport access vlan 10

Switch(config-if)#exit

Switch(config)#interface vlan 10 switch(config-if)#ip address 192.168.10.1 255.255.255.0

Switch(config-if)#no shutdown

方法二(路由接口)：

Switch(config)#interface f0/10

Switch(config-if)#no switchport

Switch(config-if)#ip address 192.168.10.1 255.255.255.0

Switch(config-if)#no shutdown

三层交换机路由协议的配置

静态路由

Switch(config)#ip route x.x.x.x x.x.x.x [x.x.x.x/interface]

RIP

Switch(config)#router rip 

Switch(config-router)#network X.X.X.X 

Switch(config-router)#version 2

注：三层交换机不支持no auto-summary

OSPF

Switch(config)#router ospf

Switch(config)#network X.X.X.X X.X.X.X area x

查看三层交换机路由配置

查看路由接口信息

Switch#show ip interface

查看路由表

Switch#show ip route

查看动态路由协议

Switch#show ip rip

Switch#show ip ospf 

PPP的配置

路由器上的配置

RA(config)#interface seriel 1/2

RA(config-if)# encapsulation ppp

注：路由器广域网默认封装方式为HDLC

PAP验证的配置

客户端（被验证方）

RA(config)#interface seril 0

RA(config-if)# encapsulation ppp

RA(config-if)#ppp pap sent-username ruijie password 123

服务端（验证方）

RB(config)#username ruijie password 123

RB(config)#interface seril 0

RB(config-if)# encapsulation ppp

RB(config-if)#ppp authentication pap

CHAP认证配置

客户端（被验证方）

RA(config)#username RB password 123

RA(config)#interface serial 0

RA(config-if)#encapsulation ppp

服务端（验证方）

RB(config)#username RA password 123

RB(config)#interface serial 0

RB(config-if)#encapsulation ppp

RB(config-if)#ppp authentication chap

PPP认证的调试

模式下输入：

Router#show interfaces serial 1/2

Router#debug ppp authentication

交换机端口安全

安全违例产生于以下情况：

如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数

如果该端口收到一个源地址不属于端口上的安全地址的包

当安全违例产生时，你可以选择多种方式来处理违例：

Protect：当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包

Restrict：当违例产生时，将发送一个Trap通知

Shutdown：当违例产生时，将关闭端口并发送一个Trap通知

配置安全端口 

端口安全最大连接数配置

switchport port-security            ！打开该接口的端口安全功能

switchport port-security maximum 

 ！设置接口上安全地址的最大个数，范围是1－128，缺省值为128

switchport port-security violation{protect|restrict |shutdown}

 ！设置处理违例的方式

注意：

   1、端口安全功能只能在access端口上进行配置。

   2、当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable    recovery 来将接口从错误状态中恢复过来。

端口的安全地址绑定

switchport port-security                       ！打开该接口的端口安全功能

switchport port-security mac-address mac-address  ip-address ip-address    ！手工配置接口上的安全地址

注意：

   1、端口安全功能只能在access端口上进行配置

   2、端口的安全地址绑定方式有:单MAC、单IP、MAC+IP

案例（一）

下面的例子是配置接口gigabitethernet1/3上的端口安全功能，设置最大地址个数为8，设置违例方式为protect

Switch# configure terminal 

Switch(config)# interface gigabitethernet 1/3 

Switch(config-if)# switchport mode access 

Switch(config-if)# switchport port-security 

Switch(config-if)# switchport port-security maximum 8 

Switch(config-if)# switchport port-security violation protect 

Switch(config-if)# end

案例（二）

下面的例子是配置接口fastethernet0/3上的端口安全功能，配置端口绑定地址，主机MAC为00d0.f800.073c，IP为192.168.12.202

Switch# configure terminal

Switch(config)# interface fastethernet 0/3

Switch(config-if)# switchport mode access

Switch(config-if)# switchport port-security

Switch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address   192.168.12.202

Switch(config-if)# end

查看配置信息

查看所有接口的安全统计信息，包括最大安全地址数，当前安全地址数以及违例处理方式等

 Switch#show port-security 

                Secure Port MaxSecureAddr CurrentAddr Security Action 

                -----------------        --------             ---------        -------------- 

                       Gi1/3                8                      1              Protect

查看安全地址信息

Switch# show port-security address

          Vlan Mac Address   IP Address          Type           Port   Remaining Age(mins)

           ----      -----------          ----------             -------        ---------    --------

            1  00d0.f800.073c  192.168.12.202  Configured Fa0/3       8  1

IP标准访问列表的配置

1.定义标准ACL

编号的标准访问列表 Router(config)#access-list <1-99> {permit|deny} 源地址 [反掩码]

命名的标准访问列表

  switch(config)# ip access-list standard < name >

  switch(config-std-nacl)#{permit|deny} 源地址 [反掩码]

2.应用ACL到接口

Router(config-if)#ip access-group <1-99> { in | out }

IP扩展访问列表的配置

1.定义扩展的ACL

编号的扩展ACL

Router(config)#access-list <100-199> { permit /deny } 协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ]

命名的扩展ACL

ip access-list extended  {name} { permit /deny } 协议 源地址 反掩码[源端口] 目的地址 反掩码 [ 目的端口 ] 

2.应用ACL到接口

Router(config-if)#ip access-group <100-199> { in | out }

 IP扩展访问列表配置实例(一)

如何创建一条扩展ACL

该ACL有一条ACE，用于允许指定网络（192.168.x..x）的所有主机以HTTP访问服务器172.168.12.3，但拒绝其它所有主机使用网络

Router (config)# access-list 103  permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www 

Router # show access-lists 103

IP扩展访问列表配置实例(二)

access-list 115 deny udp any any eq 69  

　　access-list 115 deny tcp any any eq 135

　　access-list 115 deny udp any any eq 135

　　access-list 115 deny udp any any eq 137

　　access-list 115 deny udp any any eq 138

　　access-list 115 deny tcp any any eq 139

　　access-list 115 deny udp any any eq 139

　　access-list 115 deny tcp any any eq 445

　　access-list 115 deny tcp any any eq 593

　　access-list 115 deny tcp any any eq 4444

　　access-list 115 permit ip any any

　　interface    

　　ip access-group 115 in                                  

　　ip access-group 115 out                                

利用ACL隔离冲击波病毒

访问列表的验证

显示全部的访问列表

Router#show access-lists

显示指定的访问列表

Router#show access-lists <1-199>

显示接口的访问列表应用

Router#show ip interface 接口名称 接口编号

IP访问列表配置注意事项

1、一个端口在一个方向上只能应用一组ACL

2、锐捷全系列交换机可针对物理接口和SVI接口应用ACL

针对物理接口，只能配置入栈应用(In)

针对SVI（虚拟VLAN）接口，可以配置入栈（In）和出栈（Out）应用

3、访问列表的缺省规则是：拒绝所有

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

NAT/NAPT的配置

NAT/NAPT的配置有两种

静态NAT/NAPT

动态NAT/NAPT

静态NAT/NAPT

需要向络提供信息服务的主机

永久的一对一IP地址映射关系

动态NAT/NAPT

只访问服务，不提供信息服务的主机

内部主机数可以大于全局IP地址数

最多访问主机数决定于全局IP地址数

临时的一对一IP地址映射关系

静态NAT

配置步骤

1、定义内网接口和接口

Router(config)#interface fastethernet 1/0

Router(config-if)#ip nat outside

Router(config)#interface fastethernet 1/1

Router(config-if)#ip nat inside

2、建立静态的映射关系

Router(config)#ip nat inside source static 192.168.1.7 200.8.7.3

静态NAPT

1、定义内网接口和接口

Router(config)#interface fastethernet 0

Router(config-if)#ip nat outside

Router(config)#interface fastethernet 1

Router(config-if)#ip nat inside

2、建立静态的映射关系

Router(config)#ip nat inside source static tcp

    192.168.1.7  1024    200.8.7.3  1024

Router(config)#ip nat inside source static udp 

    192.168.1.7  1024    200.8.7.3  1024

动态NAT配置

1、定义内网接口和接口

Router(config-if)#ip nat outside

Router(config-if)#ip nat inside

2、定义内部本地地址范围

Router(config)#access-list 10 permit 192.168.1.0 0.0.0.255

3、定义内部全局地址池

Router(config)#ip nat pool abc 200.8.7.3 200.8.7.10 netmask 255.255.255.0

4、建立映射关系

Router(config)#ip nat inside source list 10 pool abc

动态NAPT配置

1、定义内网接口和接口

Router(config-if)#ip nat outside

Router(config-if)#ip nat inside

2、定义内部本地地址范围

Router(config)#access-list 10 permit 192.168.1.0 0.0.0.255

3、定义内部全局地址池

Router(config)#ip nat pool abc 200.8.7.3 200.8.7.3 netmask 255.255.255.0

4、建立映射关系

Router(config)#ip nat inside source list 10 pool abc overload

NAT/NAPT的监视和维护命令

显示命令

show ip nat statistics                

显示翻译统计

show ip nat translations [verbose]