锐捷交换机命令.docx

1、锐捷交换机命令一、交换机配置模式介绍西子博客0L7H D_r_w B1l l/Q交换机配置模式主要有：西子博客8jS_w n8J? 用户模式：此模式只可以简单的查看一些交换机的配置和一些简单的修改。e_X_h_ 70Switch_b7|1G6y_y$_.z5g0? 特权模式：此模式可以查看一些交换机的配置，后面讲述的很多show命令便是在此模式下进行的，还可以对一些简单的设置配置，例如时间。西子博客_s_|_z*ix r|_MLSwitch enable /在用户模式下输入enable将进入配置模式_x i_o_v6r0+H2H$U4t0Switch西子博客_k1B3y#n6g_1q? 全局配

2、置模式：此模式下可以进行对交换机的配置，例如：命名、配置密码、设路由等。8S_h/p_RN E_v0Switchconfigure erminal /特权模式下可以通过config terminal 命令进入配置模式2z I1N_K-N8L+wJ0Switch(config)# ,h3k_N_o_A0? 端口配置模式：此模式下对端口进行配置，如配置端口ip等。1d2_q_?5n(A_U&o0Switch(config)#interface gigabitEthernet 1/1 /配置模式下输入interface gigabitEthernet 1/1进入到端口g 1/1接口模式。西子博客_G

3、_p_L_u/y二、交换机基本配置西子博客_js:J_J _? 交换机命名：西子博客 B|_A_9Y/在项目实施的时候，建议为处于不同位置的交换机命名，便于记忆，可提高后期管理效率。_ z_T9z S(s0switch(config)#hostname ruijie /ruijie为该交换机的名字,_X v_H_t_q_L_b v0? 交换机配置管理密码：西子博客)JGs t_7S配置密码可以提高交换机的安全性，另外，telnet登录交换机的时候，必须要求有telnet管理密码。西子博客_M#Y&m?$r _Z*D+G-z9Iswitch (config)#enable secret leve

4、l 1 0 rg /配置telnet管理密码为rg，其中1表示telnet密码，0表示密码不加密西子博客_N_r!B_h_f/L:Xswitch (config)#enable secret level 15 0 rg /配置特权模式下的管理密码rg，其中15表示为特权密码z x_u_M_B0U0? 交换机配置管理IPA K_#P_O$d_LO0switch (config)#interface vlan 1 /假设管理VLAN为VLAN 1_H-m ?(D8k0switch (config-if)#ip address 192.168.1.1 255.255.255.0 /给管理VLAN配置

5、管理IP地址_wK_mS%Y;_A+ B_i0switch (config-if)#no shutdown /激活管理IP，养成习惯，无论配置什么设备，都使用一下这个命令_H5_H_R:y0? 交换机配置网关：;? k6L_J_j_r.f0switch(config)#ip default-gateway 192.168.1.254 /假设网关地址为192.168.1.254，此命令用户二层设备。西子博客4R_A_U&B_s08S;PX通过以上几个命令的配置，设备便可以实现远程管理，在项目实施时（尤其是设备位置比较分散）特别能提高效率。西子博客_M y z Z_w0?6u2.1 接口介质类型配

6、置_x_T$n_Z_X&J_7K C0锐捷为了降低SME客户的总体拥有成本，推出灵活选择的端口形式：电口和光口复用接口，方便用户根据网络环境选择对应的介质类型。-Z_2|(U/d0F_B_O0但光口和电口同时只能用其一，如图1，如使用了光口1F，则电口1不能使用。_#r_Z_U l!eE#s B0 西子博客_E3_?_!r6Z 图1.S%U4DkQ_S_E-?1E_g0接口介质类型的转换：西子博客 N_T_n/U_i_hSwitch(config)#interface gigabitethernet 0/1 /o6G_g_l_X7p I_J0Switch(config-if)#medium-t

7、ype fiber /把接口工作模式改为光口西子博客) a_S ?_0S_b_h1d_M_T_X_ISwitch(config-if)#medium-type copper /把接口工作模式改为电口_G5 i_;-nT 0? 默认情况下，接口是工作在电口模式_o_H_d2pU/T_P0? 在项目实施中，如果光纤模块指示灯不亮，工作模式是否正确也是故障原因之一。/e_W K(C&x:Z,u8M1a02.2 接口速度/双工配置西子博客0t2B,?5A!z命令格式：_Gk%P_e_s.r0Switch(config)#interface interface-id /进入接口配置模式西子博客,E_q_

8、D*VT I Kf#Switch(config-if)#speed 10 | 100 | 1000 | auto /设置接口的速率参数，或者设置为auto西子博客5EN l1rL*y,tF3_qSwitch(config-if)#duplex auto | full | half /设置接口的双工模式西子博客:G_o E.z D6w,W_I? 1000只对千兆口有效；西子博客:_G_4_-Ri2? 默认情况下，接口的速率为auto，双工模式为auto。_K6(z$3NV0配置实例：6b_h_Z_o7gI(M0实例将gigabitethernet 0/1的速率设为1000M，双工模式设为全双工：

9、 #G0q)y B4Q0Switch(config)#interface gigabitethernet 0/1 $i9b_V1O-0Switch(config-if)#speed 1000N4E_u_T_u_ _&0Switch(config-if)#duplex full 西子博客_YG p_.c0w!V7m_Y? 在故障处理的时候，如果遇到规律性的时断时续或掉包，在排除其他原因后，可以考虑是否和对端设备的速率和双工模式不匹配，尤其是两端设备为不同厂商的时候。西子博客_j!Yu_U;+P_U$i_y? 光口不能修改速度和双工配置，只能auto。西子博客8vq_xI_s_j g_p2.3 V

10、LAN配置_Q*M_T_,b0添加VLAN到端口：西子博客_O+z_mk 2i w8N |_b_L在交换机上建立VLAN：-J_u6(X_c r_S Y0Switch (config)#vlan 100 /建立VLAN 100_b_M!T7V:L%_t_e0Switch (config)#name ruijie /该VLAN名称为ruijie_R:G_F_!o!j_K_t0将交换机接口划入VLAN 100中：_S8.p,A3t7g*D_s0Switch (config)#interface range f 0/1-48 /range表示选取了系列端口1-48，这个对多个端口进行相同配置时非常有

11、用_T_q5n4yQ0Switch (config-if-range)#switchport access vlan 100 /将接口划到VLAN 100中_s7C,w_d:!W_R_j_H0Switch (config-if-range)#no switchport access vlan /将接口划回到默认VLAN 1中，即端口初始配置f5c_k M_m0交换机端口的工作模式：%O_f_y_o;S_:?0Switch(config)#interface fastEthernet 0/1_q9L_S w(P0Switch(config-if)#switchport mode access /

12、该端口工作在access模式下西子博客vm_o+p.c.F_CSwitch(config-if)#switchport mode trunk /该端口工作在trunk模式下)p!7T_x5j9&S)4gK0? 如果端口下连接的是PC，则该端口一般工作在access模式下，默认配置为access模式。E_C2V O1a+j3b0? 如果端口是上联口，且交换机有划分多个VLAN，则该端口工作在TRUNK模式下。西子博客 N(r_!H_#Y!i+H_%l_W_l_p)0图2%T.z6?_h_i_y0j A0如图2：端口F0/1、F0/2、F0/3都必须工作在TRUNK模式下。西子博客7m_C_T7b

13、0_L*n_FNATIVE VLAN配置：_H_l6M_n_t_Y_0Switch(config)#interface fastEthernet 0/1西子博客_V P_h$t4j_w$K4j)Switch(config-if)#switchport mode trunk西子博客 |7g;D6Y+l_m65cSwitch(config-if)#switchport trunk native vlan 100 /设置该端口NATIVE VLAN为100西子博客/N_w&D$/B1x C? 端口只有工作在TRUNK模式下，才可以配置NATIVE VLAN；西子博客 dv_V*s_m_j)|5? 在

14、TRUNK上Native VLAN的数据是无标记的(Untagged)，所以即使没有在端口即使没有工作在TRUNK模式下，Native Vlan仍能正常通讯；西子博客:xGP*g_/i0O? 默认情况下，锐捷交换机的NATIVE VLAN为1。建议不要更改。西子博客G.3L_N9q6w#oVLAN修剪配置：西子博客_c_x(I;V_s,k c_ Switch(config)#interface fastEthernet 0/2西子博客 x:n_d5*(S-Q_I i.zSwitch(config-if)#switchport trunk allowed vlan remove 2-9,11-1

15、9,21-4094 /设定VLAN要修剪的VLAN6n_9u_d;T#h_H_0Switch(config-if)#no switchport trunk allowed vlan /取消端口下的VLAN修剪%l_A,q_V$V_h0 )o1k k_5T0图3西子博客 L-a*e_)Z_j_U如图3，VLAN1是设备默认VLAN，VLAN10和VLAN20是用户VLAN，所以需要修剪掉的VLAN为2-9,11-19,21-4094。（4094为VLAN ID的最大值）x_I_F_ r6Z_qv&E0VLAN信息查看：1|0T5B_U/y0Switch#show vlan_I_d!t #_G_g

16、 i0VLAN Name Status Ports西子博客)M7y_m_V&T_tl- - - -.w_q+v B)8H3g_P01 default active Fa0/1 ,Fa0/11,Fa0/12西子博客 L e_E. B_U4R_S_YFa0/13,Fa0/14,Fa0/15_J i_S3r,K_|8_z0Fa0/16,Fa0/17,Fa0/18Fr/B(|_b_H_N0Fa0/19,Fa0/20,Fa0/21)p(j_t9B_e0Fa0/22,Fa0/23,Fa0/24西子博客!I+M:|_)jV2j100 VLAN0100 active Fa0/1 ,Fa0/2 ,Fa0/3_s

17、 ?:d_s_Y m0Fa0/4 ,Fa0/5 ,Fa0/6西子博客1n_Dl2W_M T_c_L%_9Fa0/7 ,Fa0/8 ,Fa0/9#lS_d l0Fa0/10r_6W!d%a#b4b_S0Switch#+d_J7f5sX_C/N_c8g02.4 端口镜像西子博客*Q*,vt#Q_R o-S端口镜像配置：西子博客_b+q_)H5M_pSwitch (config)# monitor session 1 destination interface GigabitEthernet 0/2Q_R_a)Y_C_N7J_s_U0/配置G0/2为镜像端口西子博客_?3h_:U_ASwitch (

18、config)# monitor session 1 source interface GigabitEthernet 0/1 both_r_G_g.?9_w0/配置G0/1为被镜像端口，且出入双向数据均被镜像。西子博客*i_K_dy_U_G_M_WSwitch (config)# no monitor session 1 /去掉镜像14B5h6YJl_M3G!0? S21、S35等系列交换机不支持镜像目的端口当作普通用户口使用，如果需要做用户口，请将用户MAC与端口绑定。+q$E_v_p_p_L x1yd0? 锐捷SME交换机镜像支持一对多镜像，不支持多对多镜像。西子博客+Ne_a_t F0

19、Z 去除TAG标记：西子博客.g_k_n_WSwitch (config)# monitor session 1 destination interface GigabitEthernet 0/2 encapsulation replicate_f1J7_(y_T_0U2P#J%Z3Q0/ encapsulation replicate表述镜像数据不带TAG标记。_T L_l0b_x2O0? 目前该功能只有S37、S57、S86、S96交换机支持，其他型号交换机不支持。_j4e%D_QG q,F7F46Z0? 锐捷交换机支持两种模式：西子博客_mr_S*镜像目的口输出报文是否带TAG根据源数据

20、流输入的时候是否带TAG来决定。_Zy_l_k_W_M0强制所有的镜像输出报文都不带TAG ，受限于目前芯片的限制，只支持二层转发报文不带Tag，经过三层路由的报文，镜像目的端口输出的报文会带Tag。西子博客,X8Kb_C H,w端口镜像信息查看：西子博客_W_l2O J:I6e i_yS3750#sh monitor session 1_V_p,n a-!f0Session: 1西子博客_y:_ZW_L_Source Ports:_h_m_B)E_n_8I*A7J0Rx Only : NoneB_U6I)ue_s0Tx Only : None西子博客_e_c_p.v(?8p_B_t_kn0n

21、Both : Fa0/1_q_5Y_H_r.P!_U w0Destination Ports: Fa0/2_o:m_a0+o7J_J6L0encapsulation replicate: true7w!+w)u+_B_O02.5 端口聚合西子博客_e4n_s:z_G6z d_.z_c端口聚合配置：西子博客&x B E-m r_T_U_k*V8o?Switch(config)#interface fastEthernet 0/1_Q_S8N!X_Q8U_w0Switch (config-if)#port-group 1 /把端口f0/1加入到聚合组1中。?(d 6g_T0Switch (conf

22、ig-if)#no port-group 1 /把端口f0/1从聚合组1中去掉。g(O f_?,C1S_ (O_g0如图4，端口聚合的使用可以提高交换机的上联链路带宽和起到链路冗余的作用。_L!|#y_BS8k/_w0 _Q;g3_D_lU_U& e0图4西子博客2J_S_|_? c_P_H? S2126G/50G交换机最大支持的6个AP，每个AP最多能包含8个端口。6号AP只为模块1和模块2保留，其它端口不能成为该AP的成员，模块1和模块2也只能成为6号AP的成员。西子博客_2w;Y:e$a_e7hA_? S2700 系列交换机最大支持的31个AP，每个AP 最多能包含8个端口。h-x3I_

23、? i9n Y b0? S3550-24/48系列交换机最大支持的6个AP，每个AP最多能包含8个端口。西子博客4E1Z+_c_r5B8U5H? S3550-12G/12G+/24G系列交换机最大支持的12个AP，每个AP最多能包含8个端口。西子博客!5u_c(k#z4 G? S3550-12SFP/GT系列交换机最大支持的12个AP，每个AP最多能包含8个端口。_i_N_a72G k0? 57系列交换机最大支持12个AP，每个AP最多能包含个8端口。西子博客_m n_R9z_N_v_N2t_Y3j? 配置为AP的端口，其介质类型必须相同。西子博客*h9_d:t_o? 聚合端口需是连续的端口，

24、例如避免把端口1和端口24做聚合。5q_w_f(E_Km_F(I0端口聚合信息查看：西子博客_m o_ k_w_aR5hS3750#show aggregatePort 1 summary /查看聚合端口1的信息。西子博客,m.*?_U,A:BAggregatePort MaxPorts SwitchPort Mode Ports西子博客#_6I_G8x%i)U z- - - - -西子博客_n_m_h0l5HAg1 8 Enabled Access Fa0/1 , Fa0/2$J&k6J_A*d_X9g L_v&0S3750#:W-_W5s3W0信息显示AP1的成员端口为0/1和0/2。西子

25、博客_rc.j*jY.k0Ff(a_O_u2.6 交换机堆叠_z_9B_!w0设置交换机优先级：E_J_F_XR(l%PO0S3750(config)#device-priorit 5西子博客&6v6g Q+r_z;g锐捷交换机的堆叠采用的是菊花链式堆叠，注意堆叠线的连接方法，如图5：:i_s#_k#q_h0 B+? a_R_x#e_O6S.Q_Q)h0图5西子博客(A F)H e_X? 也可以不设置交换机优先级，设备会自动堆叠成功。H _l+d_q_a0? 堆叠后，只有通过主交换机CONSOLE口对堆叠组进行管理。西子博客+Y s_p4E6r_C_d_L_zW查看堆叠信息：.z b0z_e_

26、rP#x30Student_dormitory_B#show membere1K_v_g7n&V0member MAC address priority alias SWVer HWVer西子博客9o*|_U_D_b0H- - - - - -_Y&M-z_a01 00d0.f8d9.f0ba 10 1.61 3.2_r9n7m_y;R_?A_i_g_r_9J02 00d0.f8d9.f2ef 1 1.61 3.2西子博客_Q&FPo#t_u_b(v_S_G!o3 00d0.f8ff.d38e 1 1.61 3.34h_L f9 m _x02.7 ACL配置_t.N_D_x_V_z!?p0ACL

27、配置：+k_Eb5h_l0配置ACL步骤：(r6j_k,8F W0建立ACL：f;_LZ6LG#p_q0Switch(config)# Ip access-list exten ruijie /建立ACL访问控制列表名为ruijie，extend表示建立的是扩展访问控制列表。西子博客_Q T5q_n8x*_l M0fSwitch(config)#no Ip access-list exten ruijie /删除名为ruijie的ACL。西子博客:H2Y_p4e Z3j_5f增加一条ACE项后，该ACE是添加到ACL的最后，不支持中间插入，所以需要调整ACE顺序时，必须整个删除ACL后再重新配

28、置。ik u._n0添加ACL的规则：西子博客0M a)t!Q_L_G_W M_S_U_FSwitch (config-ext-nacl)#deny icmp any 192.168.1.1 255.255.255.0 /禁止PING IP地址为192.168.1.1的设备。_u7NN.B5a7b 2p_d E0Switch (config-ext-nacl)# deny tcp any any eq 135 /禁止端口号为135的应用。西子博客3g_Q$w_e_|s1u)_|_k&lSwitch (config-ext-nacl)#deny udp any any eq www /禁止协议为

29、www的应用。西子博客_z_G-E(n_H:r |2Switch(config-ext-nacl)# permit ip any any /允许所有行为。西子博客r&H_b_4B将ACL应用到具体的接口上：西子博客_I_y_o)H;a D3N s_WSwitch (config)#interface range f 0/1西子博客)_u/r,SS C8XSwitch (config-if)#ip access-group ruijie in /把名为ruijie的ACL应用到端口f 0/1上。_X_u4O( N_k0Switch (config-if)#no ip access-group r

30、uijie in /从接口去除ACL。_!t.b6V_6O_Y%N0ACL模版：.H_X_I L-d_f_i0下面给出需要禁止的常见端口和协议（不限于此）：西子博客_|!z2+z_K rSwitch (config-ext-nacl)# deny tcp any any eq 135+z_r_u_l_Y1f P O_i0Switch(config-ext-nacl)# deny tcp any any eq 139 _z74VU_Z0Switch(config-ext-nacl)# deny tcp any any eq 593 西子博客m_k7|_S$D8F6;ASwitch(config-ext-nacl)# deny tcp any any eq 4444 p_+t0,h_c_T