神州数码交换机路由器常用命令操作

文档供参考，可复制、编制，期待您的好评与关注！ 神州数码交换机常用命令操作交换机初始化 Ctrl+B交换机恢复默认值SetdefaultwriteReload1. 创建vlan、将端口指定为相应vlan、vlan分配IPVlan 编号 /创建vlan 例：vlan10SwiInteth0/0/编号-编号/指定那些端口属于这个vlan 例：swiInte0/0/1-10intvlan编号 /进入vlan接口例：intvlan10IpaddIP地址子网掩码 /配置IP地址 例：ip add 192.168.1.1 255.255.255.0创建私有vlan方法Vlan 10 Private-vlan primary 指定为主vlanVlan 11 Private-vlan community 指定为群体vlanVlan 12 priate-vlan isolated 指定为隔离vlan创建关联：vlan 10 Priate-vlan association 关联的vlan号 /主vlan关联群体vlan和隔离vlan给各vlan指定相应端口结果：群体vlan和隔离vlan ping主vlan 通 群体vlan内 通;主vlan内 通； 群体vlan间 不通； 隔离vlan内 不通；.配置远程管理（可通过setup配置）(1)交换机telnet远程管理telnet-server enable /开启telnet服务，默认以开启telnet-user 用户 password 0 密码 /添加telnet管理用户(2)web服务管理Ip http sever /开启web服务,需手动开启Web-user 用户名 password 0 密码 /添加web管理用户.静态路由Ip route 目标地址段 目标掩码 下一跳IP/接口Ip route 0.0.0.0 0.0.0.0 下一跳IP/接口 /ip route 0.0.0.0 0.0.0.0 192.168.1.2.RIP协议路由以Vlan方法Router ripName名称Networkvlan编号/networkvlan10以IP方法Router ripName 名称Network ip段.ospf协议路由以Vlan方法Router ospf 编号 /默认编号是1Int vlan vlan号/int vlan 10 区域号默认为0，必须有Ip ospf enable area 区域号 /ip ospf enable area 0以IP方法Router ospf 编号 Router-id ip地址Network 自己的IP 网关 area 0 /network 192.168.1.1/24 area 06.生成树协议1）Stp模式配置spanning-tree /启用生成树spanning-tree mode stp /设置生成树模式spanning-tree mst 0 priority 4096 /设置生成树交换机优先级2）mstp的配置spanning-treespanning-tree mst configurationname 名称instance 实例号 vlan 编号spanning-tree mst 实例号 priority 4096 /设置生成树交换机优先级spanning-tree mst 实例号 port-priority 16 /设置生成树端口优先级3）配置成快速启用端口Int e0/0/编号-编号Spanning-tree portfast7.链路聚合（手工）port-group 组号 /创建聚合组号 int e0/0/做链路的那几个端口号 /将端口加入聚合组port-group 组号 mode on 8.链路聚合（LACP动态生成）port-group 组号int e0/0/做链路的那几个端口号 （交换机A的配置）port-group 组号 mode active（交换机B的配置）port-group 组号 mode passive9.trunkInt e0/0/端口Sw mode trunk /设置为trunkSw trunk allowed vlan all /划分到所有vlan10Mac地址和端口绑定（单个）Int e0/0/端口Sw port-securitySw port-security mac-address mac地址11.Mac地址和端口绑定（多个）Inte0/0/端口Sw port-securitySw port-security maximum 安全mac地址个数如:3sw port-security mac-address mac地址sw port-security mac-address mac地址sw port-security mac-address mac地址12.Mac地址和端口绑定(动态学习)Int e0/0/端口Sw port-security maximumSw port-security maximum lockSw port-security maximum convert13.mac地址表绑定mac-address-table static addressmac地址vlan编号inte0/0/编号/解释:让mac地址只能在指定vlan中的指定端口中使用,其他的都不能使用(未测试)14. 端口安全1) int e0/0/1-10 /进入端口，只能在access口上配置2) switchport port-security /开启端口安全功能3) switchport port-security maximum 5 /配置端口安全最大连接数4) sw port-security violation shutdown /配置违例处理方式5).sw port-security mac-address mac地址 /配置mac地址绑定15. 交换机端口镜像（将源端口数据复制到目标端口）1) monitor session 1 source interface fastEthernet 0/2 both /源端口、被镜像的端口2) monitor session 1 destiNation interface fastEthernet 0/3 /目标端口、镜像端口16.dhcp配置1)交换机做dhcp服务器配置Service dhcp /启用DHCP服务Ip dhcp pool 地址池名Network-address IP段如：192.168.1.0 掩码数如：24Lease租用天数Default-router网关IPDns-serverDNS的IPIp dhcp excluded-address/指定网段中不分配的IP地址2)Dhcp中继服务的配置Service dhcpIp forward-protocol udp bootps /配置DHCP中继转发port端口的UDP广播报文，默认67端口Int vlan 编号或在接口上配置 /int e0/0/编号Ip help-address 服务器IP /指定DHCP中继转发的UDP报文的目标地址17.ACL IP访问控制下面2条是开启ACLFirewall enable /开启包过滤功能Firewall default permit /设置默认动作为允许/定义标准访问控制列表 /定义访问列表Ip access-list standard test /在端口上应用列表Deny 192.168.1.100.00.0.0.0.255/禁止IP段访问Deny 192.168.200.11 0.0.0.0/禁止单个IP访问Denytcp192.168.200.00.0.0.255any-destinationd-port23/拒绝IP段telnet数据Permit192.168.1.100.00.0.0.0.255/允许IP段访问Deny192.168.200.110.0.0.0/允许IP访问/绑定ACL到各个端口Inte0/0/端口Ip access-group test in/验证方法Show access-group标准ACL实验1) access-list 1 deny 192.168.1.0 0.0.0.255 /拒绝访问的IP段2) access-list 1 permit 192.168.1.0 0.0.0.255 /允许的IP段3) /进入端口4) ip access-group 1 in /把控制列表1 配入 端口，进入控制5) ip access-group 1 out /把控制列表1 配入 端口，输出控制15. 扩展ACL实验1) access-list 101 deny tcp A.B.C.D 255.255.255.0 A.B.C.D 255.255.255.0 eq ftp(WWW)/ 禁止前面个网段访问后面个网段的ftp或者WWW16. 交换机单向访问控制1) /使用标准ACL2) access-list 1 deny 192.168.1.0 0.0.0.2553) /进入端口4) ip access-group 1 in神州数码路由器常用命令操作路由器初始化:ctrl+break Nopassword路由器恢复默认值dirDel startup-configReboot1.进入端口给端口分配IPInt 端口Ip add ip 子网掩码No shuFC串口配置时钟频率Ph sp 640002.静态路由Ip route 目标地址段 目标掩码 下一跳IP/接口Ip route 0.0.0.0 0.0.0.0 下一跳IP/接口 /默认路由Ip route 0.0.0.0 0.0.0.0 下一跳IP/接口 10 /浮动路由3.RIP协议路由Router ripNetwork ip段4.ospf协议路由Router ospf 进程号 Router-id ip地址Network 自己的IP段 子网掩码 area 区域号如:05.telnet开启方法1Aaa authen enable default line Aaa authen login default lineEnable passwd 密码Line vty 0 4Password 密码方法2Username 用户名 password 密码Aaa authentication login 用户名 localLine vty 0 4Login authentication 刚刚那个用户名6.web访问配置Username 用户 password 0 密码 /添加用户Ip http webm-typeweb配置方式 /选择方式.高级,典型,向导Ip http port端口 /配置web端口7.ppp协议时钟频率physical-layer speed 64000封装PPP协议Int s0/编号Enc ppp /封装PPP协议单向验证（验证方式为PAP和CHAP）验证方Aaa authen ppp default localUsername 用户名 password 密码Int s0/编号Enc pppPpp authen pap被验证方Aaa authen ppp default localInt s0/编号Enc pppPpp pap sen 用户名 passwd 密码双向验证：9.hdlcInt s0/编号Enc hdlc /和PPP差不多，都在端口中配置10.dhcp配置Ip dhcp pool地址池名Network 192.168.2.0 255.255.255.0 /定义网络段Range 192.168.2.10 192.168.2.20 /定义地址范围Default-router IP /配置网关Dns-sever ip /配置NDS的IPLease 天数 /租用天数/退回配置模式(config)Ip dhcpd enable/开启dhcp11.Nat网络地址转换分为三种静态地址转换、动态地址转换、端口复用第一种1对1的网络地址转换，也叫静态地址转换，主要用于发布服务器（FTP/WEB/telnet）1）定义内外口 在端口下输入ip nat inside ip nat outside 2）配置地址转换：ip nat inside source static ip nat inside source static tcp 80 80 发布WWW服务ip nat inside source static tcp 20 20 发布ftp服务ip nat inside source static tcp 21 21ip nat inside source static tcp 23 23 允许telnet远程登陆第二种多对多的网络地址转换，也叫动态地址转换1）定义内外口 在端口下输入ip nat inside ip nat outside2）定义内网访问列表（标准）和外网的地址池定义内网访问列表：ip access-list standard permit /定义允许转换的源地址范围定义外网的地址池：ip nat pool netmask 3）配置地址转换：ip nat inside source list pool overload第三种多对一的网络地址转换，也叫端口复用（natp）1）定义内外口 在端口下输入ip nat inside ip nat outside2）定义内网访问列表定义内网访问列表：ip access-list standard permit 3）配置地址转换：ip nat inside source list interface overload12.vpn(L2TP/PPTP)的配置/A到B的数据传输实例ROUTER-A的配置Intvirtual-tunnel0Ipadd172.16.1.2255.255.255.0PppchaphosttestPppchappassword密码/退回配置模式(config)VpdnenableVpdn-group0Request-dialinInitiate-toip192.168.1.2priority1Protocol12tpD/退回配置模式(config)Iproute192.168.2.0255.255.255.0virtual-tunel0ROUTER-B的配置13、路由重分布redistribute static 重分布静态路由default-information originate 重分布默认路由redistribute connect 重分布直连网段redistribute rip 重分布RIP路由redistribute ospf 重分布OSPF路由default-metric 权值 设置路由权值14、策略路由1)定义内网访问列表：ip access-list standard permit 2)定义路由图route-map permit/denymatch ip address set ip next-hop 设置下一跳地址或 set interface fastethernet 设置出口route-map permit/denymatch ip address set ip next-hop 设置下一跳地址或 set interface fastethernet 设置出口3）在指定路由器的入口上应用路由图Router(config-if)#ip policy route-map 15、Rip 认证：在端口上进行认证（要求在两台设备的路由端口配置）RIP版本1不支持认证。路由器支持两种认证的模式，即明文认证和MD5认证，默认为明文认证方式：配置接口认证方式text明文Router(config-if)#Ip rip authentication simple Router(config-if)#Ip rip password 配置接口认证方式md5密文Router(config-if)#Ip rip authentication md5 Router(config-if)#Ip rip mk5-key 1 md5 16、OSPF认证配置：按认证的强度分：1.明文2.MD5按认证的方式分：1.链路的认证link2.区域的认证Area链路的认证-明文R2(config)#int s1/1R2(config-if)#ip ospf authentication simple R2(config-if)#ip ospf password cisco链路的认证-MD5R2(config)#int s1/1R2(config-if)#ip ospf authentication message-digest R2(config-if)#ip ospf message-digest-key 1 md5 cisco区域的认证-明文R2(config)#int s1/1R2(config-if)#ip ospf password ciscoR2(config-if)#exiR2(config)#router os 110R2(config-router)#area 1 authentication simple区域的认证-MD5R2(config)#int s1/1R2(config-if)#ip ospf message-digest-key 1 md5 ciscoR2(config-if)#router ospf 110R2(config-router)#area 1 authentication message-digest私有vlan实例vlan 11 private-vlan communityvlan 12 private-vlan communityvlan 13 private-vlan isolatedvlan 14 private-vlan isolatedvlan 10 private-vlan primary private-vlan association 11;12;13;14DCRS-5650-28(config)# show vlan private-vlanVLAN Name Type Asso VLAN Ports- - - - -10 VLAN0010 Primary 11 12 13 1411 VLAN0011 Community 1012 VLAN0012 Community 1013 VLAN0013 Isolate 1014 VLAN0014 Isolate 108 / 8