神州数码路由器及交换机配置命令

神州数码交换机配置命令
交换机基本状态：
hostname> ；用户模式
hostname# ；特权模式
hostname(config)# ；全局配置模式
hostname(config-if)# ；接口状态
交换机口令设置：
switch>enable ；进入特权模式
switch#config terminal ；进入全局配置模式
switch(config)#hostname ；设置交换机的主机名
switch(config)#enable secret xxx ；设置特权加密口令
switch(config)#enable password xxa ；设置特权非密口令
switch(config)#line console 0 ；进入控制台口
switch(config-line)#line vty 0 4 ；进入虚拟终端
switch(config-line)#login ；允许登录
switch(config-line)#password xx ；设置登录口令xx
switch#exit ；返回命令
交换机VLAN设置：
switch#vlan database ；进入VLAN设置
switch(vlan)#vlan 2 ；建VLAN 2
switch(vlan)#no vlan 2 ；删vlan 2
switch(config)#int f0/1 ；进入端口1
switch(config-if)#switchport access vlan 2 ；当前端口加入vlan 2
switch(config-if)#switchport mode trunk ；设置为干线
switch(config-if)#switchport trunk allowed vlan 1，2 ；设置允许的vlan switch(config-if)#switchport trunk encap dot1q ；设置vlan 中继
switch(config)#vtp domain ；设置发vtp域名
switch(config)#vtp password ；设置发vtp密码
switch(config)#vtp mode server ；设置发vtp模式
switch(config)#vtp mode client ；设置发vtp模式
交换机设置IP地址：
switch(config)#interface vlan 1 ；进入vlan 1
switch(config-if)#ip address ；设置IP地址
switch(config)#ip default-gateway ；设置默认网关
switch#dir Flash: ；查看闪存
交换机显示命令：
switch#write ；保存配置信息
switch#show vtp ；查看vtp配置信息
switch#show run ；查看当前配置信息
switch#show vlan ；查看vlan配置信息
switch#show interface ；查看端口信息
switch#show int f0/0 ；查看指定端口信息
完了最最要的一步。

要记得保存设置俄，
保存命令：switch(config)#copy running-config startup-config
解决交换机无法远程管理的经典三招
1、检查线路连接状态
2、检查端口工作状态：“display cpu”如果发现某块板卡的CPU消耗率达到50%以上，那么对应板卡上的某个交换端口可能不停地受到大容量数据的冲击
3、检查病毒攻击状态
接着在交换机后台管理系统的DOS命令行状态下，执行字符串命令“dis dia”，来对交换机系统的各个交换端口进行全面扫描，扫描结束后这些结果信息会被自动捕获保存到先前设置的文本文件中;
打开目标文本文件，仔细检查其中是否存在地址冲突的提示信息，要是发现有这样的提示信息时，那就说明局域网中存在ARP病毒。

为了找到ARP病毒源头，我们可以在交换机的命令行状态下执行“dis mac”字符串命令，从其后的结果界面中找到发生地址冲突的MAC地址对应的交换端口以及所在子交换机的IP地址;
下面以系统管理员权限登录进入目标子交换机系统，将该系统切换进入全局配置状态，之后再进入目标交换端口的视图配置状态，在该状态下执行“shutdown”命令，将目标交换端口暂时关闭，以便禁止ARP病毒通过该交换端口影响整个局域网;
最后，我们可以查看网管记录，找到连接到故障交换端口的客户端计算机，要求该计算机用户必须及时杀毒，确保能够将ARP病毒及时清除干净;在清除干净ARP病毒后，再在对应交换端口的视图模式配置状态下，执行“undo shutdown”字符串命令，将目标交换端口重新启用起来，这么一来我们就能成功解决由ARP 病毒引起的无法远程管理交换机故障现象了
第一部分：交换机配置：
1.基本配置：
开启SSH服务：debug ssh-server
设置特权模式密码：enable password [8] <password>注释：8为加密的密码
设置退出特权模式超时时间：：exec-timeout <minutes > [<seconds>]
Switch(config)#exec-timeout 5 30（退出时间为5分30秒）
更改主机名：hostname主机名
设置主机名与IP地址的映射关系：Switch(config)#ip host beijing 200.121.1.1（beijing为主机）
开启web配置服务：Switch(config)#ip http serve
显示帮户信息的语言类型：language {chinese|english}
使用密码验证：login
使用本地用户密码验证：Switch(config)#login local
设置用户在console上进入一般用户配置模式时的口令：Switch(config)#password 8 test
热启动交换机：reload
加密系统密码：service password-encryption
恢复交换机出厂配置：set default
保存当前配置：write
配置交换机作为Telnet服务器允许登录的Telnet客户端的安全IP地址：Switch(config)#telnet-server securityip 192.168.1.21
设置Telnet客户端的用户名及口令：Switch(config)#telnet-user Antony password 0 switch
打开交换机的SSH服务器功能：Switch(config)#ssh-server enable
设置SSH客户端的用户名及口令：Switch(config)#ssh-user switch password 0 switch 通过DHCP方式获取IP地址。

Switch(config)#interface vlan 1
Switch(Config-if-Vlan1)#ip dhcp-client enable
Switch(Config-if-Vlan1)#exit
交换机Switch1端口1同交换机Switch2端口1用线相连，将该两个端口设置为强制100Mbit/s速率，半双工模式。

Switch1(config)#interface ethernet1/1
Switch1(Config-If-Ethernet1/1)#speed-duplex force100-half
Switch2(config)#interface ethernet1/1
Switch2(Config-If-Ethernet1/1)#speed-duplex force100-half
配置名称为test的隔离组。

Switch>enable
Switch#config
Switch(config)#isolate-port group test
打开LACP调试开关。

Switch#debug lacp
新建一个port group，并且采用默认的流量分担方式。

Switch (config)#port-group 1
删除一个port group
Switch (config)#no port-group 1
在Ethernet1/1端口模式下，将本端口以active模式加入port-group 1。

Switch (Config-If-Ethernet1/1)#port-group 1 mode active
删除端口1动态MAC。

Switch#clear port-security dynamic interface Ethernet 1/1
使能端口1的MAC地址绑定功能。

Switch(config)#interface Ethernet 1/1
Switch(Config-If-Ethernet1/1)#switchport port-security
将端口1的MAC地址转化为静态安全MAC地址。

Switch(config)#interface Ethernet 1/1
Switch(Config-If-Ethernet1/1)#switchport port-security convert
添加MAC 00-03-0F-FE-2E-D3到端口1
Switch(config)#interface Ethernet 1/1
Switch(Config-If-Ethernet1/1)#switchport port-security mac-address 00-03-0F-FE-2E-D3设置端口1安全MAC地址上限为4。

Switch(config)#interface Ethernet 1/1
Switch(Config-If-Ethernet1/1)#switchport port-security maximum 4
设置端口1的违背模式为shutdown。

Switch(config)#interface Ethernet 1/1
Switch(Config-If-Ethernet1/1)#switchport port-security violation shutdown
生成树配置：
配置VLAN1-10;100-110与Instance 1的映射关系。

Switch(config)#spanning-tree mst configuration
Switch(Config-Mstp-Region)#instance 1 vlan 1-10;100-110
配置修正数值为2000。

Switch(config)#spanning-tree mst configuration
Switch(Config-Mstp-Region)# revision-level 2000
开启和关闭生成树
Switch(config)#spanning-tree
Switch(config)#interface ethernet 1/2
Switch(Config-If-Ethernet1/2)#no spanning-tree
设置交换机运行STP模式。

Switch(config)#spanning-tree mode stp
在端口1/2设置实例1的端口优先级为32。

Switch(config)#interface ethernet 1/2
Switch(Config-If-Ethernet1/2)#spanning-tree mst 1 port-priority 32
配置交换机实例2的优先级为4096。

Switch(config)#spanning-tree mst 2 priority 4096
访问控制列表配置：
使能在Tuesday到Saturday内的9:15:30到12:30:00时间段内配置生效
Switch(config)#time-range dc_timer
Switch(Config-Time-Range-dc_timer)#absolute-periodic tuesday 9:15:30 to saturday 12:30:00
使能在Monday、Wednesday、Friday和Sunday四天内的14:30:00到16:45:00时间段配置生效
Switch (Config-Time-Range-dc_timer)#periodic monday wednesday friday sunday 14:30:00 to 16:45:00
创建编号为110的数字扩展访问列表。

拒绝icmp报文通过，允许目的地址为192.168.0.1目的端口为32的udp包通过。

Switch(config)#access-list 110 deny icmp any-source any-destination
Switch(config)#access-list 110 permit udp any-source host-destination 192.168.0.1 d-port 32
创建一条编号为20的数字标准IP访问列表，允许源地址为10.1.1.0/24的数据包通过，
拒绝其余源地址为10.1.1.0/16的数据包通过。

Switch(config)#access-list 20 permit 10.1.1.0 0.0.0.255
Switch(config)#access-list 20 deny 10.1.1.0 0.0.255.255
允许源MAC地址为00-00-XX-XX-00-01的数据包通过，拒绝源地址为
00-00-00-XX-00-ab的数据包通过。

Switch(config)# access-list 700 permit 00-00-00-00-00-01 00-00-FF-FF-00-00
Switch(config)# access-list 700 deny00-00-00-00-00-ab 00-00-00-FF-00-00
允许源地址为10.1.1.0/24的数据包通过，拒绝其余源地址为10.1.1.0/16的数据包通
过。

Switch(config)# ip access-list standard ipFlow
Switch(Config-Std-Nacl-ipFlow)# permit 10.1.1.0 0.0.0.255
Switch(Config-Std-Nacl-ipFlow)# deny 10.1.1.0 0.0.255.255
二层交换机配置：
1.基本配置：enable进入特权模式
config禁进入全局配置模式
hostname更改设备名称
1.使用TFTP上传文件：
show flash
copy startup-config tftp://192.168.2.10/sw1-config01
2.配置telnet服务：
telnet-server enable
telnet-user admin password 0 admin
telnet-server secu 192.168.2.1指定特定的IP远程登录
3.http登录：
ip http server
web-user dcnu password 0 dcnu指定登录用户名和密码4.交换机vlan的配置：
vlan 10
switchport interface ethernet 0/0/1-10
5.端口镜像：
monitor session 1 source interface ethernet 0/0/1;10;24 monitor session 1 destination interface ethernet 0/0/23
6.端口MAC地址绑定：
sw port-security
sw port-security mac-address 00-0B-CD-4A-23-AF
查看mac地址表：show mac-address-table
7.AM实现端口IP和MAC地址绑定：
am enable
am mac-ip-pool mac地址IP地址
8.生成树配置：
开启和关闭生成树：span no span
针对特定端口开启和关闭生成树：int e0/0/1span/no span mstp配置:span mstp config
name dcnu
instance 1 vlan 10
instance 2 vlan 20
指定优先级：span mstp 1 priority 4096
span mstp 2 priority 61440
指定特定端口的优先级：int e0/0/1
span mstp 1 port-poriority 16
span mstp 2 port-poriority 240
三层交换机DHCP和中继的配置：
1.DHCP配置：vlan 10
vlan 20
int vlan 10
ip add 192.168.1.1 255.255.255.0
int vlan 20
ip add 192.168.2.1 255.255.255.0
service dhcp
ip dhcp pool 1
network-address 192.168.1.0 24
default-router 192.168.1.1
ip dhcp pool 2
network-address 192.168.2.0 24
default-router 192.168.2.1
2.DHCP中继：ip forward-protocol udp bootps
int vlan 10
ip help 10.1.1.1
ip route 10.1.1.0 255.255.255.0 192.168.1.1
路由器配置：
1.ospf路由器配置：
router ospf 100
network 192.168.1.1 255.255.255.0 area 0
接口权值配置：ip ospf cost值
路由重分发：redistribute ospf区域号redistribute rip
下面的配置在路由器A和B之间配置一条virtua link。

路由器A(router-id: 200.200.200.1)上的配置：
!
router ospf 100
network 192.168.20.0 255.255.255.0 area 1
area 1 virtual-link 200.200.200.2
路由器B(router-id: 200.200.200.2)上的配置：
router ospf 100
network 192.168.30.0 255.255.255.0 area 1
area 1 virtual-link 200.200.200.1
策略路由配置：
创建ACL:ip access-list standard net1 permit 10.1.1.2 255.255.255.255创建router-map:router-map
router-map pbr 10 permit
match ip addess net1 set ip next-hop 13.1.1.99
绑定在进入的接口上：interface fastethernet 0/0
ip policy route-map pbr
R outerA配置：
Router>enable
Router#conf
Router_config#hostname RouterA
RouterA_config#username RouterB password 1234设置账号密码
RouterA_config#int s0/1
RouterA_config_s0/1#ip address 192.168.1.1 255.255.255.0
RouterA_config_s0/1#encapsulation ppp封装PPP协议
RouterA_config_s0/1#ppp authentication chap设置验证方式
RouterA_config_s0/1#ppp chap hostname RouterA设置发给对方验证的账号
RouterA_config_s0/1#physical-layer speed 64000设置DCE时钟频率
RouterA_config_s0/1#no shut
RouterA_config_s0/1#exit
RouterA_config#aaa authentication ppp default local配置aaa的ppp认证方法表
RouterB配置：
Router>enable
Router#conf
Router_config#hostname RouterB
RouterB_config#username RouterA password 1234设置账号密码
RouterB_config#int s0/1
RouterB_config_s0/1#ip address 192.168.1.2 255.255.255.0
RouterB_config_s0/1#encapsulation ppp封装PPP协议
RouterB_config_s0/1#ppp authentication chap设置验证方式
RouterB_config_s0/1#ppp chap hostname RouterB设置发给对方验证的账号
RouterB_config_s0/1#no shut
RouterB_config_s0/1#exit
RouterB_config#aaa authentication ppp default local配置aaa的ppp认证方法表
注意：接口和协议都必须是UP；如果协议是down，通常是因为封装不匹配、DCE没有设置时钟等。

交换机的端口聚合：
DCS-3950-26C(config)#port-group 1
DCS-3950-26C(config)#int e0/0/1
DCS-3950-26C(config-if-ethernet0/0/1)#port-group 1 mode on
DCS-3950-26C(config-if-ethernet0/0/1)#int e0/0/5
DCS-3950-26C(config-if-ethernet0/0/5)#port-group 1 mode on
接下来，在5650上开启port-group
DCRS-5650-28(config)#port-group 1
DCRS-5650-28(config)#int e0/0/10
DCRS-5650-28(Config-If-Ethernet0/0/10)#port-group 1 mode on
DCRS-5650-28(Config-If-Ethernet0/0/10)#int e0/0/15
DCRS-5650-28(Config-If-Ethernet0/0/15)#port
DCRS-5650-28(Config-If-Ethernet0/0/15)#port-group 1 mo on
通过dhcp snooping实现PCC的IP地址、MAC地址与SWA的端口进行三元组绑定，要求SWA的0/1接口只允许PCC的IP接入。

配置静态绑定用户：
ip dhcp snooping binding enable
ip dhcp snooping binding user 00-03-0f-12-34-56 address 192.168.1.16
255.255.255.0 interface Ethernet 0/1。