锐捷网络(Ruijie Networks)是国内领先的网络设备制造商,致力于提供高效、安全、可靠的网络解决方案。锐捷的产品线包括交换机、路由器、防火墙、无线设备等,广泛应用于企业、教育、政府、金融等行业。
锐捷设备在各个行业中的应用场景包括:
企业内部网络架构搭建数据中心网络校园网建设智能城市和智慧交通网络本文给大家整理一下锐捷设备命令,希望对大家有所帮助!
基础配置系统基本配置设置设备名称设备名称可以帮助管理员识别设备。设置设备名称的命令如下:
sysname <设备名称>例如,将设备名称设置为"Ruijie_Switch":
sysname Ruijie_Switch配置时间和日期配置设备的时间和日期有助于日志记录和事件管理。使用以下命令配置时区和日期时间:
设置时区:clock timezone <时区> add <小时> <分钟>例如,将时区设置为东八区(北京时间):
clock timezone BJ add 08 00设置日期和时间:clock datetime <年> <月> <日> <小时> <分钟> <秒>例如,将时间设置为2024年7月3日,15:30:00:
clock datetime 2024 07 03 15 30 00保存配置在锐捷设备中,配置更改不会立即保存到启动配置文件,需要手动保存配置。使用以下命令保存配置:
save保存后,可以通过确认提示来完成保存:
Are you sure to save the configuration? [Y/N]: Y用户管理用户管理用于创建和管理设备的用户账号,设置权限和密码。
创建新用户可以通过以下命令创建一个新的用户:
user-interface console 0set authentication password simple <密码>例如,设置控制台用户的密码为"password123":
user-interface console 0set authentication password simple password123用户权限配置可以为远程登录(例如Telnet或SSH)的用户设置权限:
user-interface vty 0 4set authentication password simple <密码>例如,设置VTY用户的密码为"password123":
user-interface vty 0 4set authentication password simple password123文件系统管理文件系统管理包括查看、删除和管理设备上的文件。
查看文件系统可以使用以下命令查看设备上的文件系统和文件:
dir输出示例如下:
Directory of flash:/ 2 -rw- 6068568 Jan 01 1970 00:01:35 system.bin 3 -rw- 3456 Jan 01 1970 00:01:36 config.cfg 4 -rw- 123456 Jan 01 1970 00:01:37 log.txt删除文件可以使用以下命令删除设备上的文件:
delete <文件名>例如,删除文件"log.txt":
delete log.txt配置文件管理配置文件管理包括备份和恢复设备的配置文件。
备份配置可以使用以下命令将当前运行配置备份到启动配置:
copy running-config startup-config恢复配置可以使用以下命令将启动配置恢复到当前运行配置:
copy startup-config running-config接口配置接口基本配置接口基本配置包括进入接口配置模式、设置接口描述和启用或关闭接口等。
进入接口配置模式要配置特定接口,首先需要进入该接口的配置模式。使用以下命令:
interface <接口类型> <接口编号>例如,进入GigabitEthernet 0/1接口的配置模式:
interface GigabitEthernet 0/1设置接口描述设置接口描述可以帮助管理员识别接口的用途或连接对象。使用以下命令:
description <描述信息>例如,将接口描述设置为"连接到核心交换机":
description 连接到核心交换机启用或关闭接口可以使用以下命令启用或关闭接口:
shutdown / no shutdown例如,启用接口GigabitEthernet 0/1:
interface GigabitEthernet 0/1no shutdown物理接口物理接口配置包括配置IP地址、设置链路模式等。
配置IP地址为接口配置IP地址和子网掩码,使用以下命令:
ip address <IP地址> <子网掩码>例如,为GigabitEthernet 0/1接口配置IP地址192.168.1.1,子网掩码255.255.255.0:
interface GigabitEthernet 0/1ip address 192.168.1.1 255.255.255.0设置链路模式可以设置接口的速率和双工模式,使用以下命令:
speed <速率>duplex <模式>例如,将GigabitEthernet 0/1接口设置为1000Mbps全双工模式:
interface GigabitEthernet 0/1speed 1000duplex fullVLAN接口VLAN接口配置包括创建VLAN和将接口加入VLAN等。
创建VLAN使用以下命令创建一个新的VLAN:
vlan <VLAN ID>例如,创建VLAN 10:
vlan 10将接口加入VLAN将接口配置为访问模式并加入指定的VLAN:
interface <接口类型> <接口编号>switchport mode accessswitchport access vlan <VLAN ID>例如,将GigabitEthernet 0/1接口配置为访问模式并加入VLAN 10:
interface GigabitEthernet 0/1switchport mode accessswitchport access vlan 10聚合接口聚合接口(Link Aggregation)配置包括创建聚合接口和将物理接口加入聚合接口等。
创建聚合接口使用以下命令创建一个新的聚合接口(Port-channel):
interface Port-channel <编号>例如,创建Port-channel 1:
interface Port-channel 1将物理接口加入聚合接口使用以下命令将物理接口加入到聚合接口:
interface <接口类型> <接口编号>channel-group <编号> mode <模式>例如,将GigabitEthernet 0/1和0/2接口加入到Port-channel 1,模式为主动(active):
interface GigabitEthernet 0/1channel-group 1 mode activeinterface GigabitEthernet 0/2channel-group 1 mode active以太网交换交换基础查看MAC地址表查看设备上的MAC地址表有助于了解网络中的设备连接情况。使用以下命令查看MAC地址表:
show mac address-table输出示例如下:
MAC Address Table-------------------------------------------Vlan Mac Address Type Ports---- ----------- -------- ----- 10 00e0.b601.aba8 DYNAMIC Gi0/1 20 00e0.b601.bacd DYNAMIC Gi0/2清除MAC地址表清除MAC地址表可以在需要重新学习MAC地址时使用。使用以下命令清除动态MAC地址表:
clear mac address-table dynamicVLAN和VLAN Trunk配置Trunk接口Trunk接口允许多个VLAN通过一个物理接口传输,通常用于交换机之间的连接。使用以下命令配置Trunk接口:
interface <接口类型> <接口编号>switchport mode trunkswitchport trunk allowed vlan <VLAN列表>例如,将GigabitEthernet 0/1接口配置为Trunk模式,并允许VLAN 10和20通过:
interface GigabitEthernet 0/1switchport mode trunkswitchport trunk allowed vlan 10,20配置本地管理VLAN本地管理VLAN用于管理交换机的访问,通常是默认VLAN 1。可以使用以下命令更改管理VLAN:
interface vlan <VLAN ID>ip address <IP地址> <子网掩码>例如,将管理VLAN设置为VLAN 100,并配置IP地址:
interface vlan 100ip address 192.168.100.1 255.255.255.0STP(生成树协议)生成树协议(STP)用于防止网络中出现环路,保证网络的稳定性和可靠性。
启用STP可以使用以下命令启用STP并选择STP模式:
spanning-tree mode <模式>支持的模式包括RSTP、MSTP等。例如,启用快速生成树协议(RSTP):
spanning-tree mode rstp配置STP优先级可以配置交换机在STP中的优先级,优先级越低,越可能成为根桥。使用以下命令:
spanning-tree vlan <VLAN ID> priority <优先级>例如,将VLAN 10的优先级设置为4096:
spanning-tree vlan 10 priority 4096端口镜像端口镜像用于网络监控和故障排查,可以将流量从一个接口复制到另一个接口进行分析。
配置端口镜像使用以下命令配置端口镜像:
monitor session <会话编号> source interface <源接口>monitor session <会话编号> destination interface <目的接口>例如,将GigabitEthernet 0/1接口的流量镜像到GigabitEthernet 0/2接口:
monitor session 1 source interface GigabitEthernet 0/1monitor session 1 destination interface GigabitEthernet 0/2广域网接入基本配置配置广域网接口广域网接口(WAN接口)用于连接远程网络或互联网。通常,WAN接口会配置IP地址和子网掩码。使用以下命令配置WAN接口:
interface <接口类型> <接口编号>ip address <IP地址> <子网掩码>例如,为Serial 0/0接口配置IP地址192.168.10.1,子网掩码255.255.255.252:
interface Serial 0/0ip address 192.168.10.1 255.255.255.252配置静态路由静态路由用于手动配置路由表,指示如何将流量发送到特定网络。使用以下命令配置静态路由:
ip route <目的网络> <子网掩码> <下一跳地址>例如,配置到网络192.168.20.0/24的静态路由,下一跳地址为192.168.10.2:
ip route 192.168.20.0 255.255.255.0 192.168.10.2PPP配置PPP(点对点协议)是一种常用于广域网的链路层协议。
配置PPP使用以下命令在广域网接口上启用PPP:
interface <接口类型> <接口编号>encapsulation ppp例如,在Serial 0/0接口上启用PPP:
interface Serial 0/0encapsulation ppp配置PPP认证PPP支持多种认证方式,如PAP和CHAP。使用以下命令配置PPP认证:
配置PAP认证:ppp pap sent-username <用户名> password <密码>例如,配置PAP认证,用户名为"user1",密码为"password123":
interface Serial 0/0ppp pap sent-username user1 password password123配置CHAP认证:ppp chap hostname <主机名>ppp chap password <密码>例如,配置CHAP认证,主机名为"user1",密码为"password123":
interface Serial 0/0ppp chap hostname user1ppp chap password password123Frame Relay配置Frame Relay是一种广域网技术,常用于建立虚拟电路。
配置Frame Relay使用以下命令在广域网接口上启用Frame Relay:
interface <接口类型> <接口编号>encapsulation frame-relay例如,在Serial 0/0接口上启用Frame Relay:
interface Serial 0/0encapsulation frame-relay配置DLCIDLCI(数据链路连接标识符)用于标识Frame Relay虚拟电路。使用以下命令配置DLCI:
frame-relay interface-dlci <DLCI编号>例如,为Serial 0/0接口配置DLCI 100:
interface Serial 0/0frame-relay interface-dlci 100Dialer配置Dialer接口用于拨号连接,通常与PPP结合使用。
配置Dialer接口使用以下命令配置Dialer接口:
interface Dialer <编号>ip address negotiatedencapsulation pppdialer pool-member <池编号>例如,配置Dialer 1接口,使用Dialer池1:
interface Dialer 1ip address negotiatedencapsulation pppdialer pool-member 1配置拨号池使用以下命令配置拨号池:
dialer pool <池编号>例如,配置拨号池1:
dialer pool 1IP业务IP地址配置IP地址配置是网络配置的基础,主要用于为设备的接口分配IP地址。
配置IP地址为设备接口配置IP地址和子网掩码,使用以下命令:
interface <接口类型> <接口编号>ip address <IP地址> <子网掩码>例如,为GigabitEthernet 0/1接口配置IP地址192.168.1.1,子网掩码255.255.255.0:
interface GigabitEthernet 0/1ip address 192.168.1.1 255.255.255.0DHCP配置DHCP(动态主机配置协议)用于自动分配IP地址、网关和DNS服务器等信息给客户端。
配置DHCP服务器创建DHCP池:ip dhcp pool <池名称>例如,创建名为"LAN"的DHCP池:
ip dhcp pool LAN指定网络和子网掩码:network <网络地址> <子网掩码>例如,指定网络192.168.1.0/24:
network 192.168.1.0 255.255.255.0指定网关:default-router <网关地址>例如,指定网关192.168.1.1:
default-router 192.168.1.1指定DNS服务器:dns-server <DNS服务器地址>例如,指定DNS服务器8.8.8.8:
dns-server 8.8.8.8配置DHCP中继DHCP中继用于在不同网络段之间传递DHCP请求。使用以下命令配置DHCP中继:
interface <接口类型> <接口编号>ip helper-address <DHCP服务器地址>例如,在GigabitEthernet 0/1接口上配置DHCP中继,DHCP服务器地址为192.168.2.1:
interface GigabitEthernet 0/1ip helper-address 192.168.2.1NAT配置NAT(网络地址转换)用于在私有IP地址和公共IP地址之间进行转换,以便内部网络访问外部网络。
配置静态NAT静态NAT用于将一个私有IP地址映射到一个公共IP地址。使用以下命令配置静态NAT:
ip nat inside source static <私有IP地址> <公共IP地址>例如,将私有IP地址192.168.1.100映射到公共IP地址203.0.113.1:
ip nat inside source static 192.168.1.100 203.0.113.1配置动态NAT动态NAT用于将一个内部网络地址池映射到一个公共IP地址池。使用以下命令配置动态NAT:
定义内部网络地址池:ip nat pool <池名称> <起始IP地址> <结束IP地址> netmask <子网掩码>例如,定义地址池“PUBLIC”,地址范围从203.0.113.1到203.0.113.10,子网掩码255.255.255.0:
ip nat pool PUBLIC 203.0.113.1 203.0.113.10 netmask 255.255.255.0创建访问列表,定义内部网络范围:access-list <编号> permit <网络地址> <反掩码>例如,定义访问列表10,内部网络范围为192.168.1.0/24:
access-list 10 permit 192.168.1.0 0.0.0.255将内部网络映射到公共地址池:ip nat inside source list <访问列表编号> pool <池名称>例如,将访问列表10映射到地址池“PUBLIC”:
ip nat inside source list 10 pool PUBLIC配置内部和外部接口:interface <接口类型> <接口编号>ip nat inside / ip nat outside例如,配置GigabitEthernet 0/1为内部接口,GigabitEthernet 0/2为外部接口:
interface GigabitEthernet 0/1ip nat insideinterface GigabitEthernet 0/2ip nat outside静态路由配置静态路由用于手动配置路由表,指示如何将流量发送到特定网络。使用以下命令配置静态路由:
ip route <目的网络> <子网掩码> <下一跳地址>例如,配置到网络192.168.20.0/24的静态路由,下一跳地址为192.168.1.2:
ip route 192.168.20.0 255.255.255.0 192.168.1.2IP路由静态路由静态路由用于手动配置路由表,指示如何将流量发送到特定网络。其配置在前面已部分涉及,这里再详细说明。
配置静态路由使用以下命令配置静态路由:
ip route <目的网络> <子网掩码> <下一跳地址>例如,配置到网络192.168.30.0/24的静态路由,下一跳地址为192.168.1.1:
ip route 192.168.30.0 255.255.255.0 192.168.1.1RIP配置RIP(路由信息协议)是一种较为简单的内部网关协议,适用于小型网络。
启用RIP使用以下命令启用RIP并配置相应的网络:
router ripversion <版本号>network <网络地址>例如,启用RIP版本2,并配置网络192.168.1.0/24和192.168.2.0/24:
router ripversion 2network 192.168.1.0network 192.168.2.0配置RIP被动接口被动接口不发送RIP更新,但仍接收和处理RIP更新。使用以下命令配置RIP被动接口:
router rippassive-interface <接口类型> <接口编号>例如,将GigabitEthernet 0/1接口设置为RIP被动接口:
router rippassive-interface GigabitEthernet 0/1OSPF配置OSPF(开放最短路径优先)是一种链路状态协议,适用于大型和复杂的网络。
启用OSPF使用以下命令启用OSPF并配置相应的网络:
router ospf <进程ID>network <网络地址> <反掩码> area <区域ID>例如,启用OSPF进程1,并配置网络192.168.1.0/24到区域0:
router ospf 1network 192.168.1.0 0.0.0.255 area 0配置OSPF优先级OSPF优先级用于选择指定路由器(DR)和备份指定路由器(BDR)。使用以下命令配置接口的OSPF优先级:
interface <接口类型> <接口编号>ip ospf priority <优先级>例如,将GigabitEthernet 0/1接口的OSPF优先级设置为100:
interface GigabitEthernet 0/1ip ospf priority 100BGP配置BGP(边界网关协议)是一种用于自治系统之间的路由协议,适用于互联网骨干网。
启用BGP使用以下命令启用BGP并配置本地AS号:
router bgp <本地AS号>neighbor <邻居IP地址> remote-as <邻居AS号>例如,启用BGP,配置本地AS号为65001,邻居IP地址为192.168.1.2,邻居AS号为65002:
router bgp 65001neighbor 192.168.1.2 remote-as 65002配置BGP网络使用以下命令将本地网络宣告到BGP:
router bgp <本地AS号>network <网络地址> mask <子网掩码>例如,将网络192.168.1.0/24宣告到BGP:
router bgp 65001network 192.168.1.0 mask 255.255.255.0ACL和QoSACL(访问控制列表)ACL用于控制流量的访问权限,通过设置一系列规则来允许或拒绝特定的数据包。ACL有标准ACL和扩展ACL两种类型。
标准ACL标准ACL根据源IP地址来过滤流量。
配置标准ACL使用以下命令配置标准ACL:
access-list <编号> permit | deny <源IP地址> <反掩码>例如,允许来自192.168.1.0/24网络的流量:
access-list 10 permit 192.168.1.0 0.0.0.255应用标准ACL到接口将ACL应用到接口上:
interface <接口类型> <接口编号>ip access-group <ACL编号> in | out例如,将ACL 10应用到GigabitEthernet 0/1接口的入方向:
interface GigabitEthernet 0/1ip access-group 10 in扩展ACL扩展ACL根据源和目的IP地址、协议类型以及端口号来过滤流量。
配置扩展ACL使用以下命令配置扩展ACL:
access-list <编号> permit | deny <协议类型> <源IP地址> <反掩码> <目的IP地址> <反掩码> [eq <端口号>]例如,允许TCP协议从192.168.1.0/24网络到192.168.2.0/24网络的流量,端口号为80:
access-list 100 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 80应用扩展ACL到接口将ACL应用到接口上:
interface <接口类型> <接口编号>ip access-group <ACL编号> in | out例如,将ACL 100应用到GigabitEthernet 0/1接口的入方向:
interface GigabitEthernet 0/1ip access-group 100 inQoS(服务质量)QoS用于管理网络资源,提供不同类型流量的优先级,以确保关键应用的带宽和延迟要求。
配置QoS策略QoS策略包括分类、标记、队列和调度等步骤。
分类和标记使用类图定义流量分类:
class-map <类图名称>match <匹配条件>例如,定义类图"HTTP"来匹配TCP协议的80端口流量:
class-map HTTPmatch protocol tcpmatch port 80配置策略图使用策略图来定义分类后的操作:
policy-map <策略图名称>class <类图名称><操作>例如,为类图"HTTP"配置带宽限制为1Mbps:
policy-map LIMIT-HTTPclass HTTPbandwidth 1000应用策略图到接口将策略图应用到接口上:
interface <接口类型> <接口编号>service-policy input | output <策略图名称>例如,将策略图"LIMIT-HTTP"应用到GigabitEthernet 0/1接口的出方向:
interface GigabitEthernet 0/1service-policy output LIMIT-HTTP可靠性链路聚合(Link Aggregation)链路聚合用于将多个物理链路捆绑成一个逻辑链路,以提高带宽和可靠性。
配置链路聚合创建聚合接口:interface port-channel <编号>例如,创建聚合接口Port-Channel 1:
interface port-channel 1将物理接口添加到聚合接口:interface <物理接口类型> <物理接口编号>channel-group <聚合接口编号> mode <模式>例如,将GigabitEthernet 0/1和GigabitEthernet 0/2接口添加到Port-Channel 1,模式为active:
interface GigabitEthernet 0/1channel-group 1 mode activeinterface GigabitEthernet 0/2channel-group 1 mode active查看链路聚合状态使用以下命令查看链路聚合的状态:
show etherchannel summarySTP(生成树协议)STP用于防止交换网络中的环路,确保网络的稳定性和可靠性。
启用STP使用以下命令启用STP:
spanning-tree mode <模式>例如,启用快速生成树协议(RSTP):
spanning-tree mode rapid-pvst配置STP优先级使用以下命令配置交换机的STP优先级,以决定根桥的选择:
spanning-tree vlan <VLAN编号> priority <优先级>例如,将VLAN 1的STP优先级设置为4096:
spanning-tree vlan 1 priority 4096配置STP端口优先级使用以下命令配置接口的STP端口优先级,以决定指定端口的选择:
interface <接口类型> <接口编号>spanning-tree vlan <VLAN编号> port-priority <优先级>例如,将GigabitEthernet 0/1接口的VLAN 1端口优先级设置为128:
interface GigabitEthernet 0/1spanning-tree vlan 1 port-priority 128VRRP(虚拟路由冗余协议)VRRP用于提高网络的可靠性,通过在多个路由器之间共享虚拟IP地址,实现网关的冗余备份。
配置VRRP配置接口的IP地址:interface <接口类型> <接口编号>ip address <IP地址> <子网掩码>例如,为GigabitEthernet 0/1接口配置IP地址192.168.1.2,子网掩码255.255.255.0:
interface GigabitEthernet 0/1ip address 192.168.1.2 255.255.255.0配置VRRP组:interface <接口类型> <接口编号>vrrp <组编号> ip <虚拟IP地址>例如,为GigabitEthernet 0/1接口配置VRRP组1,虚拟IP地址为192.168.1.1:
interface GigabitEthernet 0/1vrrp 1 ip 192.168.1.1配置VRRP优先级:interface <接口类型> <接口编号>vrrp <组编号> priority <优先级>例如,将VRRP组1的优先级设置为120:
interface GigabitEthernet 0/1vrrp 1 priority 120网管和监控SNMP(简单网络管理协议)SNMP用于监控网络设备和服务器,收集信息并进行管理。
配置SNMP代理启用SNMP代理:snmp-server community <团体名> <访问权限> <ACL编号>例如,启用团体名为"public",读写权限为可读写,ACL编号为10的SNMP代理:
snmp-server community public RW 10配置SNMP Trap接收者:snmp-server host <Trap接收者IP地址> version <版本号> <团体名>例如,配置Trap接收者IP地址为192.168.1.10,版本号为2c,团体名为"public":
snmp-server host 192.168.1.10 version 2c public查看SNMP状态使用以下命令查看SNMP配置和状态:
show snmpSyslogSyslog用于记录设备的事件和消息,便于故障排除和审计。
配置Syslog服务器配置Syslog服务器地址:logging <Syslog服务器IP地址>例如,配置Syslog服务器IP地址为192.168.1.20:
logging 192.168.1.20配置Syslog级别:logging level <级别> <设备>例如,设置所有设备的Syslog级别为信息(Informational):
logging level informational查看Syslog日志使用以下命令查看Syslog日志:
show loggingNetFlowNetFlow用于监控和收集流量数据,以进行流量分析和网络性能优化。
配置NetFlow启用NetFlow:flow record <记录名称>match <匹配条件>collect <收集字段>例如,创建记录名称为"NETFLOW-RECORD",匹配所有流量,收集IP地址和端口号:
flow record NETFLOW-RECORDmatch ipv4 source addressmatch ipv4 destination addressmatch transport source-portmatch transport destination-port配置NetFlow导出器:flow exporter <导出器名称>destination <导出器IP地址>source <本地接口>transport udp <端口号>例如,配置导出器名称为"NETFLOW-EXPORTER",目的地IP地址为192.168.1.30,本地接口为GigabitEthernet 0/1,UDP端口号为2055:
flow exporter NETFLOW-EXPORTERdestination 192.168.1.30source GigabitEthernet 0/1transport udp 2055配置NetFlow监视器:flow monitor <监视器名称>record <记录名称>exporter <导出器名称>cache timeout active <超时时间>例如,配置监视器名称为"NETFLOW-MONITOR",使用之前创建的记录名称和导出器名称,并设置活动超时时间为60秒:
flow monitor NETFLOW-MONITORrecord NETFLOW-RECORDexporter NETFLOW-EXPORTERcache timeout active 60启用NetFlow监控接口将NetFlow监视器应用到接口上:
interface <接口类型> <接口编号>ip flow monitor <监视器名称> input | output例如,将监视器"NETFLOW-MONITOR"应用到GigabitEthernet 0/1接口的输入方向:
interface GigabitEthernet 0/1ip flow monitor NETFLOW-MONITOR input安全防火墙防火墙用于控制网络流量,保护网络安全,包括配置访问控制列表(ACL)和安全策略等功能。
配置防火墙ACL创建防火墙ACL:access-list <编号> permit | deny <协议类型> <源IP地址> <反掩码> <目的IP地址> <反掩码> [eq <端口号>]例如,允许TCP协议从192.168.1.0/24网络到192.168.2.0/24网络的流量,端口号为80:
access-list 110 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 80将ACL应用到防火墙接口:interface <防火墙接口类型> <防火墙接口编号>ip access-group <ACL编号> in | out例如,将ACL 110应用到防火墙的入方向:
interface firewall GigabitEthernet 1/0/1ip access-group 110 in配置安全策略创建安全策略:policy-map <策略名称>class <类名称><操作>例如,创建策略名称为"SECURITY-POLICY",并设置检查HTTP流量:
policy-map SECURITY-POLICYclass HTTPinspect http将安全策略应用到防火墙接口:interface <防火墙接口类型> <防火墙接口编号>service-policy <策略名称> in | out例如,将策略"SECURITY-POLICY"应用到防火墙的入方向:
interface firewall GigabitEthernet 1/0/1service-policy SECURITY-POLICY inVPN(虚拟专用网络)VPN用于通过公共网络(如Internet)安全地连接私有网络。
配置IPSec VPN配置IPSec策略:crypto isakmp policy <优先级>encryption <加密算法>authentication <认证算法>例如,配置IPSec策略优先级为10,使用AES加密和SHA认证:
crypto isakmp policy 10encryption aesauthentication sha配置IPSec转换集:crypto ipsec transform-set <转换集名称> <加密算法> <认证算法>例如,创建转换集名称为"IPSEC-TRANSFORM",使用AES加密和SHA认证:
crypto ipsec transform-set IPSEC-TRANSFORM esp-aes esp-sha-hmac配置IPSec安全关联(SA):crypto map <地图名称> <序列号> ipsec-isakmpset peer <对等方IP地址>set transform-set <转换集名称>match address <ACL编号>例如,创建地图名称为"IPSEC-MAP",序列号为10,设置对等方IP地址、转换集和ACL编号:
crypto map IPSEC-MAP 10 ipsec-isakmpset peer 203.0.113.1set transform-set IPSEC-TRANSFORMmatch address 120将IPSec地图应用到接口:interface <接口类型> <接口编号>crypto map <地图名称>例如,将IPSec地图"IPSEC-MAP"应用到GigabitEthernet 0/1接口:
interface GigabitEthernet 0/1crypto map IPSEC-MAP组播(Multicast)组播用于在网络上一次传输数据到多个目的地。
配置组播路由启用组播路由:ip multicast-routing配置组播路由协议(如PIM):router <组播路由协议>例如,配置PIM组播路由协议:
router pim配置组播组:ip igmp join-group <组播组地址>例如,加入组播组地址为239.1.1.1:
ip igmp join-group 239.1.1.1总结最后瑞哥将命令整理成表格,大家可以截图收藏!
基础配置命令
描述
system-view
进入系统视图
sysname <设备名称>
设置设备主机名
interface <接口类型> <接口编号>
进入接口视图
description <描述信息>
配置接口描述信息
ip address <IP地址> <子网掩码>
配置接口IP地址和子网掩码
undo shutdown
启用接口
save
保存配置
接口配置命令
描述
port link-mode <模式>
配置接口链路模式
port default vlan <VLAN编号>
配置接口默认VLAN
port default pvid <VLAN编号>
配置接口默认PVID
port trunk permit vlan <VLAN列表>
配置允许通过的VLAN列表
port hybrid tagged vlan <VLAN列表>
配置混合接口允许的标记VLAN
port hybrid untagged vlan <VLAN列表>
配置混合接口允许的非标记VLAN
以太网交换命令
描述
vlan batch <VLAN列表>
批量创建VLAN
interface vlanif <VLAN编号>
进入VLAN接口视图
ip address <IP地址> <子网掩码>
配置VLAN接口IP地址和子网掩码
stp enable
启用生成树协议
stp instance <实例编号> priority <优先级>
配置生成树实例优先级
广域网接入命令
描述
interface <接口类型> <接口编号>
进入接口视图
pppoe-client dial-bundle-number <号码>
配置PPPoE客户端拨号号码
ip address ppp-negotiate
PPPoE自动协商IP地址
nat outbound <编号>
配置NAT出口策略
IP业务命令
描述
ip route-static <目的网络> <子网掩码> <下一跳地址>
配置静态路由
ip dns server
启用设备作为DNS服务器
ping <目标地址>
发送Ping测试
tracert <目标地址>
追踪路由到目标地址
IP路由命令
描述
ospf <进程编号>
进入OSPF进程视图
area <区域编号> authentication
配置OSPF区域认证方式
interface <接口类型> <接口编号>
进入接口视图
ospf network-type <网络类型>
配置OSPF接口网络类型
ACL和QoS命令
描述
acl number <ACL编号>
创建ACL
rule <规则编号> permit | deny <协议类型> <源IP> <反掩码> <目的IP> <反掩码>
配置ACL规则
qos policy <策略名称>
进入QoS策略视图
classifier <分类名称> behavior <行为名称>
配置分类器和行为
apply qos policy <策略名称> <接口类型> <接口编号>
应用QoS策略到接口
可靠性命令
描述
interface port-channel <编号>
创建聚合接口
interface <物理接口类型> <物理接口编号>
添加物理接口到聚合接口
spanning-tree mode <模式>
配置生成树协议模式
spanning-tree vlan <VLAN编号> priority <优先级>
配置STP优先级
vrrp <组编号> ip <虚拟IP地址>
配置VRRP组
网管和监控命令
描述
snmp-server community <团体名> <访问权限> <ACL编号>
配置SNMP代理
snmp-server host <Trap接收者IP地址> version <版本号> <团体名>
配置SNMP Trap接收者
logging <Syslog服务器IP地址>
配置Syslog服务器地址
logging level <级别>
配置Syslog日志级别
flow record <记录名称>
创建NetFlow记录
flow exporter <导出器名称>
配置NetFlow导出器
flow monitor <监视器名称>
配置NetFlow监视器
安全命令
描述
access-list <编号> permit | deny <协议类型> <源IP地址> <反掩码> <目的IP地址> <反掩码> [eq <端口号>]
配置防火墙ACL
interface <防火墙接口类型> <防火墙接口编号>
应用ACL到防火墙接口
policy-map <策略名称>
创建安全策略
class <类名称>
进入策略类视图
crypto isakmp policy <优先级>
配置IPSec ISAKMP策略
crypto ipsec transform-set <转换集名称> <加密算法> <认证算法>
配置IPSec转换集
crypto map <地图名称> <序列号> ipsec-isakmp
创建IPSec地图
