1、锐捷网络交换机的配置命令集档锐捷网络交换机的配置命令集Enable 进入特权模式#Exit 返回上一级操作模式#End 返回到特权模式#write memory 或copy running-config startup-config 保存配置文件#del flash:config.text 删除配置文件(交换机及1700系列路由器)#erase startup-config 删除配置文件(2500系列路由器)#del flash:vlan.dat 删除Vlan配置信息(交换机)#Configure terminal 进入全局配置模式(config)# hostname switchA 配置设备
2、名称为switchA(config)#banner motd & 配置每日提示信息 &为终止符(config)#enable secret level 1 0 star 配置远程登陆密码为star(config)#enable secret level 15 0 star 配置特权密码为starLevel 1为普通用户级别,可选为115,15为最高权限级别;0表示密码不加密(config)#enable services web-server 开启交换机WEB管理功能Services 可选以下:web-server(WEB管理)、telnet-server(远程登陆)等端口的基本配置(conf
3、ig)#Interface fastethernet 0/3 进入F0/3的端口配置模式(config)#interface range fa 0/1-2,0/5,0/7-9 进入F0/1、F0/2、F0/5、F0/7、F0/8、F0/9的端口配置模式(config-if)#speed 10 配置端口速率为10M,可选10,100,auto(config-if)#duplex full 配置端口为全双工模式,可选full(全双工),half(半双式),auto(自适应)(config-if)#no shutdown 开启该端口(config-if)#switchport access vlan
4、 10 将该端口划入VLAN10中,用于VLAN(config-if)#switchport mode trunk 将该端口设为trunk模式,用于Tag vlan 可选模式为access , trunk(config-if)#port-group 1 将该端口划入聚合端口AG1中,用于聚合端口聚合端口的创建(config)# interface aggregateport 1 创建聚合接口AG1(config-if)# switchport mode trunk 配置并保证AG1为 trunk 模式(config)#int f0/23-24(config-if-range)#port-gro
5、up 1 将端口(端口组)划入聚合端口AG1中生成树(config)#spanning-tree 开启生成树协议(config)#spanning-tree mode stp 指定生成树类型为stp可选模式stp , rstp , mstp(config)#spanning-tree priority 4096 设置交换机的优先级为4096 , 优先级值小为高。优先级可选值为0,4096,8192,为4096的倍数。交换机默认值为32768VLAN的基本配置(config)#vlan 10 创建VLAN10(config-vlan)#name vlanname 命名VLAN为vlanname(
6、config-if)#switchport access vlan 10 将该端口划入VLAN10中某端口的接口配置模式下进行(config)#interface vlan 10 进入VLAN 10的虚拟端口配置模式(config-if)# ip address 192.168.1.1 255.255.255.0 为VLAN10的虚拟端口配置IP及掩码,二层交换机只能配置一个IP,此IP是作为管理IP使用,例如,使用Telnet的方式登录的IP地址(config-if)# no shutdown 启用该端口端口安全(config)# interface fastethernet 0/1 进入一
7、个端口(config-if)# switchport port-security 开启该端口的安全功能1配置最大连接数限制(config-if)# switchport port-secruity maxmum 1 配置端口的最大连接数为1,最大连接数为128(config-if)# switchport port-secruity violation shutdown 配置安全违例的处理方式为shutdown,可选为protect (当安全地址数满后,将未知名地址丢弃)、restrict(当违例时,发送一个Trap通知)、shutdown(当违例时将端口关闭,并发送Trap通知,可在全局模式
8、下用errdisable recovery来恢复)2IP和MAC地址绑定(config-if)#switchport port-security mac-address xxxx.xxxx.xxxx ip-address 172.16.1.1 接口配置模式下配置MAC地址xxxx.xxxx.xxxx和IP172.16.1.1进行绑定(MAC地址注意用小写)三层路由功能(针对三层交换机)(config)# ip routing 开启三层交换机的路由功能(config)# interface fastethernet 0/1 (config-if)# no switchport 开启端口的三层路由
9、功能(这样就可以为某一端口配置IP)(config-if)# ip address 192.168.1.1 255.255.255.0 (config-if)# no shutdown 三层交换机路由协议(config)# ip route 172.16.1.0 255.255.255.0 172.16.2.1 配置静态路由注:172.16.1.0 255.255.255.0 为目标网络的网络号及子网掩码172.16.2.1 为下一跳的地址,也可用接口表示,如ip route 172.16.1.0 255.255.255.0 serial 1/2(172.16.2.0所接的端口)(config
10、)# router rip 开启RIP协议进程(config-router)# network 172.16.1.0 申明本设备的直连网段信息(config-router)# version 2 开启RIP V2,可选为version 1(RIPV1)、version 2(RIPV2) (config-router)# no auto-summary 关闭路由信息的自动汇总功能(只有在RIPV2支持)(config)# router ospf 开启OSPF路由协议进程(针对1762,无需使用进程ID)(config)# router ospf 1 开启OSPF路由协议进程(针对2501,需要加
11、OSPF进程ID)(config-router)# network 192.168.1.0 0.0.0.255 area 0 申明直连网段信息,并分配区域号(area0为骨干区域)IP ACL:交换机采用命名的访问控制列表;分标准(stand)和扩展(extended)两种1.标准ACL(config)#ip access-list stand listname 定义命名标准列表,命名为listname,stand为标准列表(config-std-nacl)#deny 192.168.30.0 0.0.0.255 拒绝来自192.168.30.0网段的IP流量通过注:deny:拒绝通过;可选:
12、deny(拒绝通过)、permit(允许通过)192.168.30.0 0.0.0.255:源地址及源地址通配符;可使用any表示任何IP(config-std-nacl)#permit any(config-std-nacl)#end 返回2.扩展ACL(config)#ip access-list extended listname 定义命名扩展列表,命名为listname,extended为扩展(config-ext-nacl)#deny tcp 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 eq www 拒绝源地址为192.168.30.0
13、网段的IP访问目的地址为192.168.10.0网段的WWW服务注:deny:拒绝通过,可选:deny(拒绝通过)、permit(允许通过)tcp: 协议名称,协议可以是udp, ip,eigrp, gre, icmp, igmp, igrp等等。192.168.10.0 0.0.0.255:源地址及源地址通配符192.168.30.0 0.0.0.255:目的地址及目的地址通配符eq:操作符(lt-小于,eq-等于,gt-大于,neg-不等于,range-包含) www:端口号,可使用名称或具体编号可以使用的协议名称(或编号)和端口名称(或编号)请打?查询。(config-ext-nacl)
14、#permit ip any any 允许其它通过(config-ext-nacl)#end 返回(config)#interface vlan 10 进入端口配置模式(config-if)# ip access-group listname in 访问控制列表在端口下in方向应用;可选:in(入栈)、out(出栈)(config-if)#end 返回注:配置ACL时,若只想对其中部分IP进行限制访问时,必须配置允许其流量通过,否则设备只会对限制IP进行处理,不会对非限制IP进行允许通过处理。锐捷路由器配置命令之远程登陆(telnet)1. (config)#linevty04进入线路04的配
15、置模式,4为连续线路最后一位的编号,线路为04 2. (conifg-line)#login 3. (config-line)#passwordstar配置远程登陆密码为star 4. (config-line)#end返回上层 锐捷路由器配置命令之端口的基本配置5. (config)#Interfacefastethernet0/3进入F0/3的端口配置模式 6. (config)#interfacerangefa0/1-2进入F01至F0/2的端口配置模式 7. (config-if)#speed10配置端口速率为10M,可选10,100,auto 8. (config-if)#duple
16、xfull配置端口为全双工模式,可选full(全双工),half(半双式),auto(自适应) 9. (config-if)#noshutdown开启该端口 10. (config)#interfaceserial1/2进入端口S1/2的配置模式 11. (config-if)#ipaddress1.1.1.1255.255.255.0配置端口IP及掩码 12. (config-if)#clockrate64000配置时钟频率(单位为K,仅用于DCE端) 13. (config-if)#bandwidth512配置端口带宽速率为512KB(单位为KB) 14. (config-if)#nosh
17、utdown开启该端口 (config-if)#encapsulationPPP定义封装类型为PPP,可选项配置telnet 密码S5750(config)#line vty 0 4 -进入telnet 密码配置模式S5750(config-line)#login -启用需输入密码才能telnet 成功S5750(config-line)#password rscstar -将telnet 密码设置为rscstarS5750(config-line)#exit -回到全局配置模式S5750(config)#enable secret 0 rscstar-配置进入特权模式的密码为rscstar开
18、启SSH 服务(可选操作)S5750(config)#enable service ssh-server -开启ssh 服务S5750(config)#ip ssh version 2 -启用ssh version 2S5750(config)#exit -回到特权模式S5750#wri -保存配置设备时钟设置S5750#clock set 12:45:55 11 25 2008-设置时间为2008 年11 月25 日12 点45 分55 秒S5750#clock update-calendar -设置日历更新S5750(config)#clock timezone CN 8 22 -时间名字
19、为中国,东8 区22 分 交换机配置DHCP Relay Agent缺省的DHCP Relay Agent设置项目缺省值DHCP Relay Agent状态Disable,关闭DHCP服务DHCP Server的IP地址255.255.255.255打开DHCP Relay Agent步骤:Switch# configure terminal!进入全局配置模式Enter configuration commands, one per line. End with CNTL/Z.Switch(config)# service dhcp!打开DHCP服务,这里指打开DHCP Relay Agent
20、2006-03-16 09:27:39 5-CONFIG:Configured from outbandSwitch(config)# end!退回到特权模式2006-03-16 09:27:40 5-CONFIG:Configured from outbandSwitch# show running-config!显示当前配置Switch# write!保存配置Building configuration.OK配置DHCP Server的IP地址步骤:Switch# configure terminalEnter configuration commands, one per line. E
21、nd with CNTL/Z.Switch(config)# ip helper-address 192.168.26.47!设置DHCP Server的IP地址2006-03-16 09:40:02 5-CONFIG:Configured from outbandSwitch(config)# end2006-03-16 09:40:05 5-CONFIG:Configured from outbandSwitch# show running-configSwitch# writeBuilding configuration.OK注:如果要把DHCP Server的IP地址恢复到缺省值,可以
22、用no ip helper-address全局配置命令来设置,标准ACL 配置提问:如何只允许端口下的用户只能访问特定的服务器网段?步骤一:定义ACLS5750#conf t -进入全局配置模式S5750(config)#ip access-list standard 1 -定义标准ACLS5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255 S5750(config-std-nacl)#deny any -拒绝访问其他任何资源 S5750(config-std-nacl)#exit -退出标准ACL 配置模式步骤二:将ACL 应用到接口上S57
23、50(config)#interface GigabitEthernet 0/1 -进入所需应用的端口S5750(config-if)#ip access-group 1 in -将标准ACL 应用到端口in 方向 扩展ACL 配置提问:如何禁止用户访问单个网页服务器?步骤一:定义ACLS5750#conf t -进入全局配置模式S5750(config)#ip access-list extended 100 -创建扩展ACLS5750(config-ext-nacl)#deny tcp any host 192.168.1.254 eq www-禁止访问web 服务器S5750(confi
24、g-ext-nacl)#deny tcp any any eq 135 -预防冲击波病毒S5750(config-ext-nacl)#deny tcp any any eq 445 -预防震荡波病毒S5750(config-ext-nacl)#permit ip any any -允许访问其他任何资源S5750(config-ext-nacl)#exit -退出ACL配置模式步骤二:将ACL 应用到接口上S5750(config)#interface GigabitEthernet 0/1 -进入所需应用的端口S5750(config-if)#ip access-group 100 in -将
25、扩展ACL 应用到端口下VLAN 之间的ACL 配置提问:如何禁止VLAN 间互相访问?步骤一:创建vlan10、vlan20、vlan30S5750#conf -进入全局配置模式S5750(config)#vlan 10 -创建VLAN10S5750(config-vlan)#exit -退出VLAN 配置模式S5750(config)#vlan 20 -创建VLAN20S5750(config-vlan)#exit -退出VLAN 配置模式S5750(config)#vlan 30 -创建VLAN30S5750(config-vlan)#exit -退出VLAN 配置模式步骤二:将端口加入
26、各自vlanS5750(config)# interface range gigabitEthernet 0/1-5-进入gigabitEthernet 0/1-5 号端口S5750(config-if-range)#switchport access vlan 10-将端口加划分进vlan10S5750(config-if-range)#exit -退出端口配置模式S5750(config)# interface range gigabitEthernet 0/6-10-进入gigabitEthernet 0/6-10 号端口S5750(config-if-range)#switchport
27、 access vlan 20-将端口加划分进vlan20S5750(config-if-range)#exit -退出端口配置模式S5750(config)# interface range gigabitEthernet 0/11-15-进入gigabitEthernet 0/11-15 号端口S5750(config-if-range)#switchport access vlan 30-将端口加划分进vlan30S5750(config-if-range)#exit -退出端口配置模式步骤三:配置vlan10、vlan20、vlan30 的网关IP 地址S5750(config)#in
28、terface vlan 10 -创建vlan10 的SVI 接口S5750(config-if)#ip address 192.168.10.1 255.255.255.0S5750(config-if)#exit -退出端口配置模式S5750(config)#interface vlan 20 -创建vlan10 的SVI 接口S5750(config-if)#ip address 192.168.20.1 255.255.255.0S5750(config-if)#exit -退出端口配置模式S5750(config)#interface vlan 30 -创建vlan10 的SVI 接
29、口S5750(config-if)#ip address 192.168.30.1 255.255.255.0S5750(config-if)#exit -退出端口配置模式步骤四:创建ACL,使vlan20 能访问vlan10,而vlan30 不能访问vlan10S5750(config)#ip access-list extended deny30 -定义扩展ACLS5750(config-ext-nacl)#deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255-拒绝vlan30 的用户访问vlan10 资源S5750(config-ex
30、t-nacl)#permit ip any any-允许vlan30 的用户访问其他任何资源S5750(config-ext-nacl)#exit -退出扩展ACL配置模式步骤五:将ACL 应用到vlan30 的SVI 口in 方向S5750(config)#interface vlan 30 -创建vlan30 的SVI 接口S5750(config-if)#ip access-group deny30 in-将扩展ACL 应用到vlan30 的SVI 接口下4.4 单向ACL 的配置提问:如何实现主机A 可以访问主机B 的FTP 资源,但主机B 无法访问主机A 的FTP 资源?步骤一:定义ACLS5750#conf t -进入全局配置模式S5750(config)#ip access-list extended 100 -定义扩展AC
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 