神州数码配置命令总结 已更新Word格式文档下载.docx

神州数码配置命令总结 已更新Word格式文档下载.docx

《神州数码配置命令总结 已更新Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《神州数码配置命令总结 已更新Word格式文档下载.docx（23页珍藏版）》请在冰豆网上搜索。

（2）限制允许IP地址段Telnet登录交换机

switch（config）#access-list1permit192.168.1.00.0.0.255

switch（config）#authenticationipaccess-class1in

5、为交换机设置Web授权用户和口令：

web-user<

用户名>

password{0|7}<

密码>

例：

Switch（Config）#web-useradminpassword0digital

6、设置系统日期和时钟：

clockset<

HH:

MM:

SS>

<

YYYY/MM/DD>

7、设置退出特权用户配置模式超时时间

exectimeout<

minutes>

//单位为分钟，取值范围为0~300

8、保存配置：

write

9、显示系统当前的时钟：

Switch#showclock

10、指定登录用户的身份是管理级还是访问级

Enable[level{visitor|admin}[<

]]

11、指定登录配置模式的密码：

Enablepasswordlevel{visitor|admin}

12、配置交换机的用户名密码：

usernameadminprivilege15password0admin000

13、配置enable密码为ddd：

enablepassword0dddlevel15

14、配置登录时认证：

authenticationlinevtyloginlocal

15、设置端口的速率和双工模式（接口配置模式下）

命令：

speed-duplex{auto|force10-half|force10-full|force100-half|force100-full|

{{force1g-half|force1g-full}[nonegotiate[master|slave]]}}

nospeed-duplex

二、单交换机VLAN划分

1、VLAN基本配置

（1）新建VLAN：

vlan<

vlan-id>

（2）命名VLAN：

name<

vlan-name>

（3）为VLAN分配交换机端口

Switch（Config-If-Vlan1）#switchportinterfaceEthernet0/2

（4）设置Trunk端口允许通过VLAN：

Switch（Config-ethernet0/0/5）#switchporttrunkallowedvlan1;

3;

5-20

2、划分VLAN：

（1）进入相应端口：

Switch（config）#interfaceEthernet0/2

（2）修改模式：

Switch（Config-ethernet0/0/5）switchportmodeaccess

（3）划分VLAN：

Switch（Config-ethernet0/0/5）#switchportaccessvlan4

三、跨交换机VLAN划分（两台交换机作相同操作）

1、新建VLAN

2、划分VLAN

3、修改链路模式

（1）进入相应端口：

Switch（config）#interfaceEthernet0/1

Switch（config-if）#switchportmodetrunk

四、VLAN间主机的通信

注意：

如果是三层交换机，在修改模式先封装802.1协议：

Switch（config-if）#switchporttrunkencapsulationdot1q

4、建立VLAN子接口

（1）、进入VLAN接口模式：

Switch（config）#interfacevlan2

（2）、设置VLAN子接口地址：

Switch（config-if）#ipaddress192.168.0.1255.255.255.0

（3）、打开端口：

Switch（config-if）#noshutdown

5、设置各主机IP地址、子网掩码、网关

注意：

（1）各主机IP地址应与其所在的VLAN在同一网段。

（2）192.168.0.1/24中的“24”表示子网掩码为3个255。

（3）主机所在的VLAN的子接口地址就是主机的网关。

五、端口安全配置

1、启用和禁用端口安全功能：

启用：

Switch（config-if）#switchportport-security

禁用：

Switch（config-if）#noswitchportport-security

2、设置接口上安全地址的最大个数（1~128）

Switch（config-if）#switchportport-securitymaximum1

3、设置处理违例的方式

Switch（config-if）#switchportport-securityviolationshutdown

4、手工配置接口上的安全地址

Switch（config-if）#switchportport-securitymac-address00d0.d373.B060

5、查看安全配置：

Switch#showport-security

六、设置广播风暴抑制功能

Switch（Config）#broadcast-suppression<

packets>

参数：

<

代表每秒钟允许通过的广播数据报的个数，取值范围为1~262143。

七、端口聚合

1、创建portgroup：

Switch（Config）#port-group1//数字范围1-16

2、把物理端口加入组：

Switch（Config-Ethernet0/0/1）#port-group1modeon

3、进入port-channel配置模式：

Switch（Config）#interfaceport-channel1

4、修改链路模式：

switchportmodetrunk

第二部分路由器配置

一、路由器基本配置

1、进入特权模式：

Router>

en

2、进入全局配置模式：

Router#config

3、定义路由器的名字为DCR：

Router（Config）#hostnameDCR

4、特权用户的口令：

DCR（Config）#enablepassword123456

5、启动远程服务功能：

DCR（Config）#telnet-serverenable

6、配置远程用户的口令：

DCR（Config）#telnetadminpassword7admin

7、配置时钟频率：

Router（Config-Serial2/0）#physical-layerspeed64000

8、配置用户登录路由器时认证：

aaaauthenticationlogindefaultlocallineenable

9、配置进入特权模式时认证：

aaaauthenticationenabledefaultenable

10、配置路由器的用户名密码：

usernameadminpassword0admin000

11、配置进入特权模式密码：

enablepassword0admin000level15

二、静态路由配置

1、命令：

iproute<

目的IP>

子网掩码>

{<

接口名称>

|<

下一跳IP地址>

}[<

路由优先级>

]

preference>

为路由优先级，取值范围为1～255，preference的值越小优先级越高。

Router（config）#iproute1.1.1.0255.255.255.02.1.1.1

2、默认路由

iproute0.0.0.00.0.0.0{<

三、单臂路由

1、打开端口：

2、进入子接口配置IP地址，并封装dot1q协议到对应的VLAN。

Router_config#interfacef0/0.1

Router（config_f0/0.1）#ipaddress192.168.100.1255.255.255.0

Router（config_f0/0.1）#encapsulationdot1Q100//封装dot1Q到VLAN100

Route（config_f0/0.1）#exit

Router_config#interfacef0/0.2

Router（config_f0/0.2）#ipaddress192.168.200.1255.255.255.0

Router（config_f0/0.2）#encapsulationdot1Q200//封装dot1Q到VLAN200

Router（config_f0/0.2）#exit

四、动态路由协义配置

1、RIP协议

在DCR路由器上运行RIP路由协议的基本配置很简单，通常只需打开RIP开关、使能发送和接收RIP数据报，即按RIP缺省配置发送和接收RIP数据报（DCR路由器缺省发送RIP-II接收RIP-I和RIP-II）

（1）启动RIP协议：

Router（config）#routerrip

（2）配置RIP协义版本：

Router（config-router-rip）#version2

（3）配置接口使能发送/接收RIP数据报

Router（config-serial2/0）#ipripwork

（4）配置引入路由（缺省路由权值、配置RIP中引入其它协议的路由）

❶缺省路由权值：

Router（config-router-rip）#default-metric3//权值可设1-16

❷路由重分发：

redistribute{static|ospf}[metric<

value>

]

缺省情况下，路由器不引入其它路由。

值指定以多大的路由权值引入路由，不指定则按缺省路由权值（default-metric）引入，取值范围1~16。

Router（config-router-rip）#redistributeospfmetric5

2、OSPF协议

（1）启动OSPF协议（必须）

Router（Config）#routerospf

（2）配置运行OSPF路由器的ID号（可选）

routerid<

router_id>

为路由器ID号，以IP地址表示，点分十进制格式。

缺省情况下，不配置路由器ID号，OSPF运行时从各接口的IP地址中选一个作为路由器ID号。

Router（config）#routerid1.1.1.1

（3）配置运行OSPF的网络范围（可选）

network<

直连网络>

反掩码>

area<

区域号>

Router（Config-Router-Ospf）#network10.0.0.00.0.0.255area1

（4）配置接口所属的域（必须）

ipospfenablearea<

area_id>

要在某一个接口上运行OSPF协议，必须首先指定该接口属于一个区域。

此命令用来在接口配置所属域。

为该接口所属区域的区域号。

缺省情况下，接口不配置成属于某个区域。

Router（Config-Serial2/0）#ipospfenablearea1

（5）配置OSPF引入路由参数

❶配置引入外部路由的缺省参数（缺省类型、缺省标记值、缺省代价值、缺省时间间隔和缺省数量上限）

缺省类型：

defaultredistributetype{1|2}

Router（Config-Router-Ospf）#defaultredistributetype1

缺省标记值：

defaultredistributetag<

tag>

//范围1~2147483647

Router（Config-Router-Ospf）#defaultredistributetag0x80000001

缺省代价值：

defaultredistributecost<

cost>

//范围1~65535

Router（Config-Router-Ospf）#defaultredistributecost10

缺省时间间隔：

defaultredistributeinterval<

time>

Router（Config-Router-Ospf）#defaultredistributeinterval3

缺省数量上限：

defaultredistributelimit<

routes>

Router（Config-Router-Ospf）#defaultredistributelimit100

❷配置在OSPF中引入其它协议的路由（路由重分发）

redistributeospfase{connected|static|rip}[type{1|2}][tag<

][metric<

cost_value>

]

connected表示引入直连路由作为外部路由信息，static表示引入静态路由作为外部路由信息，rip表示引入RIP协议发现路由作为外部路由信息；

type指定路由的代价类型，1和2分别表示第一类外部路由和第二类外部路由；

tag指定路由的标记，<

为路由的标记值，取值范围1~2147483648；

metric指定路由的代价，<

为路由的代价值，取值范围1~16777215。

缺省情况下，OSPF不引入外部路由。

Router（Config-Router-Ospf）#redistributeospfaseriptype1tag3metric20

3、策略路由

❶新建源网络访问控制列表

Router（config）#ipaccess-listnet1

Router（config）#permit10.1.1.00.0.0.255

❷设置路由表

Router（config）#route-mappbr//建立路由表，名字为PBR

Router（config-route-map）#Matchipaddressnet1//配置匹配该路由表的网络

Router（config-route-map）#Matchlength1501500//设置报文的长度范围

Router（config-route-map）#Setipnext-hop192.168.50.1//下一跳地址

❸应用到接口

Router（config）#intg0/4

Router（config）#ippolicyroute-mappbr

五、网络地址转换

1.设置指定接口作为网络地址转换的限定接口：

ipnat{inside|outside}

Router（config）#interfaceethernet0

Router（config-ethernet0）#ipnatinside

2.配置静态NAT/NAPT映射

NAT：

ipnatinsidesourcestatic<

内部本地地址>

内部全局地址>

Router（config）#ipnatinsidestaticsource10.1.1.11.1.1.1

NAPT:

Router（config）#ipnatinsidesourcestatictcp192.168.1.71024200.8.7.31024

Router（config）#ipnatinsidesourcestaticudp192.168.1.71024200.8.7.31024

3.配置动态NAT/NAPT映射

（1）配置允许进行地址转换的内部私有地址；

Router（config）#access-list1permit10.1.1.00.0.0.255

（2）配置动态NAT地址转换使用的外部公有地址的地址池；

Router（config）#ipnatpoolpool-11.1.1.11.1.1.10netmask255.255.255.0

（3）建立内部私有地址与地址池或NAT外部接口的映射关系

Router（config）#ipnatinsidesourcelist1poolpool-1overload

六、PPP协议配置

PPP（Point-to-PointProtocol）协议是为在点到点链路上传输数据包而设计的，它是在点到点链路上承载网络层数据包的一种链路层协议。

PPP协议可以承载多种网络层协议数据包，如IP和IPX，并提供PAP、CHAP、MS-CHAP三种安全认证方式，以防止未经许可的非法用户访问。

PPP支持串口同步和异步两种模式。

PPP配置,需先在接口做好基础配置（接口IP，时钟频率等。

）

1、PAP：

验证方建立数据库，被验证方发送相同用户名密码。

（1）验证方：

建立用户名、密码：

Router（config）#userdcrpassword0aa

进入接口，封装PPP：

Router（config-serial2/0）#encapsulationppp

选择验证方式PAP：

Router（config-serial2/0）#pppauthenticationpap

（2）被验证方：

发送对方的用户名密码：

Router（config-serial2/0）#ppppapsent-usernamedcrpassword0aa

2、CHAP：

发送的用户名必须是对方主机名，双方发送的密码要一致。

Router（config）#userRBpasswordaa

选择验证方式CHAP：

Router（config-serial2/0）#pppauthenticationchap

建立用户名密码：

Router（config）#userRApasswordaa

神州数码设备配置必须开启AAA本地认证。

Router（config）#aaaauthenticationpppdefaultlocal

第三部分其它配置

一、MSTP配置（MSTP是基于STP或RSTP的，因此在配置前应开启任一模式）

1、开启生成树

spanning-tree

2、设置交换机运行生成树的模式

spanning-treemode{mstp|stp}

3、进入MSTP域配置模式

spanning-treemstconfiguration

4、为域命名（域配置模式）

name>

5、将实例应用到VLAN（域配置模式）

instance<

instance-id>

vlan<

vlan-list>

6、设置实例的优先级（在全局模式配置）

spanning-treemst<

priority<

bridge-priority>

7、设置当前端口指定实例的优先级值（端口配置模式下）

port-priority<

port-priority>

二、ACL配置

（一）、标准的ACL

access-list10{deny|permit}{{<

源网络>

}|any-source|{host-source<

源地址>

}}

（二）、命名标准ACL

1、命名

ipaccess-liststandardacb

2、制定规则

{deny|permit}{{<

3、应用到接口

ipaccess-group名称in/o