交换机路由器配置命令大集合

配置命令大集合
一、常用的子网掩码及反掩码
/30 255.255.255.252 0.0.0.3
/29 255.255.255.248 0.0.0.7
/28 255.255.255.240 0.0.0.15
/27 255.255.255.224 0.0.0.31
/26 255.255.255.192 0.0.0.63
/25 255.255.255.128 0.0.0.127
/24 255.255.255.0 0.0.0.255
/23 255.255.254.0 0.0.1.255
/22 255.255.252.0 0.0.3.255
/21 255.255.248.0 0.0.7.255
/20 255.255.240.0 0.0.15.255
二、锐捷交换机交换技术
1、跨交换机实现VLAN互通
交换机间相连端口模式下switch(config-if)#switchport mode trunk
2、Trunk 口的运行VLAN列表
步骤1：进入全局配置模式
Switch#configure terminal
步骤2：进入需要配置为Trunk的端口
Switch(config)#interface interface
步骤3：定义该端口模式为Trunk
Switch(config-range-if)#switchport mode trunk
步骤4：定义Trunk的VLAN列表
Switch(config-if)#switchport trunk allowed vlan { all | [ add | remove | except ] } vlan-list
3、Native VLAN的概念与配置
步骤1：进入到需要配置的Trunk端口中
swtich(config)#interface interface
步骤2：配置Trunk的Native VLAN
Switch(config-if)#switchport trunk native vlan vlan-id
4、链路聚合的配置
建立聚合端口switch(config)#interface range fastEthernet 0/1 – 2
switch(config-if-range)#port-group 1
聚合端口设Trunk口switch(config)#interface aggregateport 1
switch(config-if)# switchport mode trunk
5、交换机上配置Telnet
Telnet密码型：
switch(config)#enable passwd 0 star //配置enable 密码
或switch(config)#enable secret level 15 0 start(默认是level 15)
switch(config)#line vty 0 4
switch(config-line)#password 0 star //配置Telnet密码
或switch(config)#enable secret level 1 0 start (level 1 为Telnet密码)
switch(config-line)#login
Telnet用户+密码型:
switch(config)#enable passwd 0 star //配置enable 密码
switch(config)#username 用户名password 密码//配置Telnet用户和Telnet 密码switch(config)#line vty 0 4 switch(config-line)#login local
6、生成树协议技术
switch(config)#spanning-tree mode stp/rstp/mstp
switch(config)#spanning-tree mst configuration
switch(config-mst)#instance <实例名> vlan <vlanid 1> ,<vlanind 2>…
switch(config-mst)#name <mst 配置名>
switch(config-mst)#revision <版本名>
switch(config-mst)# spanning-tree mst <实例名> priority <优先级号>(数字越小，优先级越高,最小者为根网桥)
7、VRRP（虚拟路由冗余协议）技术
(有几个vrrp网关就要设几个，每个交换机都要设置)
switch(config-if)#vrrp <组名> ip <ip-address>
switch(config-if)#vrrp <组名> preempt //设置抢占模式
switch(config-if)#vrrp <组名> priority <优先级号>(数字越小，优先级越高,默认为100,最小者为主控虚拟路由，其余为备份虚拟路由)
三、锐捷路由器路由技术
1、三层交换机路由功能配置
switch(config)#ip routing switch(config-if)#no switchport
2、SVI实现VLAN间路由
步骤1 开启路由功能（默认）Switch(config)#ip routing
步骤2 创建VLAN Switch(config)#vlan vlan-id
步骤3 进入VLAN的SVI接口配置模式Switch(config)#interface vlan vlan-id 步骤4 给SVI接口配置IP地址Switch(config-if)#ip address ip-address mask (如果VLAN内没有激活的端口，相应VLAN的SVI端口将无法被激活)
交换机相连端口设置为tag vlan 模式,PC网关为相应VLAN的SVI接口地址3、单臂路由实现VLAN间路由
Router(config)#int 端口Router(config-if)#no ip add Router(config-if)#no shu
步骤1：创建以太网子接口
Router(config)#interface interface.sub-port
步骤2：为子接口封装802.1q协议，并指定接口所属的VLAN
Router(config-subif)#encapsulation dot1q vlan-id
步骤3：为子接口配置IP地址
Router(config-subif)#ip address ip-address mask-address
步骤4：启用子接口
Router(config-subif)#no shutdown
在给理由器子接口配置ip地址前先封装dot1q协议，各个Vlan的主机要以相应VLAN子接口的IP地址作为网关。

4、静态路由应用
Router(config)#ip route 目的网络号子网掩码下一跳接口或接口IP地址
配置下一跳路由器的地址指的是与本路由器直接相连的下一跳路由器的接口
5、默认路由(缺省路由)应用
Router(config)#ip route 0.0.0.0 0.0.0.0 下一跳接口或接口IP地址
6、RIP 路由协议应用
※配置RIP：
rip协议以跳数做为衡量路径开销，允许最大的跳计数为15跳
Router(config)#router rip Router(config)#version <1-2>
Router(config)#network 网络号//发布网段，只支持A、B、C的主网络号,如172.16.10.0子网段，只能输入172.16.0.0这一有类网络地址，如写子网自动转换Router(config)#no auto-summary //只有在RIPV2支持
※配置RIP被动接口:
Router(config)#router rip Router(config)#passive-interface 接口
passive-interface命令可以阻止RIP更新广播从该接口发送到外界，但是该接口仍可以接收RIP更新
7、OSPF路由协议应用
※配置OSPF：
Router(config)#router ospf 进程号<1-65535>//网络中每台路由器上的进程号可以相同也可以不同Router(config)#network 直连网络号通配符掩码area 区域号※配置OSPF被动接口:
Router(config)#router ospf 进程号Router(config)#passive-interface 接口
8、策略路由
例:实验拓扑
实验的要求：
R2上做策略路由，源地址为1.1.1.1/24访问3.3.3.0/24的流量走23.23.23.0/24 网段、源地址为12.12.12.1/24访问3.3.3.0/24的流量走10.1.23.0/24网段基于源地址的策略路由配置：
在配置根据源地址的策略路由配置的时候，首先用访问控制列表对源地址进行限制，然后配置策略，最后到接口上应用。

9、路由重发布(边界路由器上配置)
※配置静态路由和RIP重分发:
1、首先配置静态路由
2、配置rip路由和重分发
Router rip
Version 2
Redistribute static //把静态路由重分发进RIP路由
Network 网段
No auto-summary
根据题目若有要求设置一下访问列表
※配置OSPF和RIP重分发:
1、Ospf重分发:
前提：配置基础设置还需要设置ip route 0.0.0.0 0.0.0.0 fa 端口表示任何网段都可以通过(看题目而定)
Ospf 进程号
Redistribute rip metric <度量值> metric-type <1-2> subnets
//把rip路由重分发进OSPF路由，度量值视情况而定
Network 网段号反掩码区域号
附：看情况而定是否要加入ip route 目标PC的网段号子网掩码端口号
2、RIP重分发:
Router rip
Version 2
Redistribute ospf 进程号metric <度量值> //把ospf路由重分发进RIP路由
Network 网段
No auto-summary
10、PPP认证
※PAP：
被认证方RouterA(config-if)#encapsulation ppp
RouterA(config-if)# ip address ip-address mask-address
RouterA(config-if)#ppp pap sent-username 户名password 0 密码认证方RouterB(config)#username 户名password 0 密码//户名和密码同上RouterB(config-if)#encapsulation ppp
RouterB(config-if)# ip address ip-address mask-address
RouterB(config-if)#ppp authentication pap
※CHAP：互写对方主机名，密码是两边相同的
被认证方RouterA(config)# username RouterB password 0 密码
RouterA(config-if)#encapsulation ppp
RouterA(config-if)# ip address ip-address mask-address
认证方RouterB(config)#username RouterA password 0 密码
RouterB(config-if)#encapsulation ppp
RouterB(config-if)# ip address ip-address mask-address
RouterB(config-if)# ppp authentication chap
11、NAT(网络地址转换)的应用
※静态NAT:建立内部本地地址和内部全局地址的一对一永久映射。

Router(config)#ip nat inside source static local-address global-address
Router(config)#interface interface-type interface-number
Router(config)#ip nat inside
Router(config)#interface interface-type interface-number
Router(config)#ip nat outside
※动态NAT: 动态内部源地址转换
Router(config)#access-list access-list-number permit ip-address wildcard(反)
Router(config)#ip nat inside source list access-list-number interface interface-type interface-number
Router(config)#interface interface-type interface-number
Router(config)#ip nat inside
Router(config)#interface interface-type interface-number
Router(config)#ip nat outside
※静态NAPT:将内部网指定主机的指定端口映射到全局地址的指定端口上（静态NAT是将内部主机映射成全局地址）
Router(config)#ip nat inside source static UDP|TCP local-address port global-address port
Router(config)#interface interface-type interface-number
Router(config)#ip nat inside
Router(config)#interface interface-type interface-number
Router(config)#ip nat outside
※动态NAPT: 建立内部本地地址和内部全局地址池的临时映射。

Router(config)#ip nat pool pool-name start-address end-address netmask mask(正) Router(config)#access-list access-list-number permit ip-address wildcard(反)
Router(config)#ip nat inside source list access-list-number pool pool-name overload Router(config)#interface interface-type interface-number
Router(config)#ip nat inside
Router(config)#interface interface-type interface-number
Router(config)#ip nat outside
※重叠地址转换:内部非注册网络地址已被外部网络占有，造成了地址重叠。

例:
RouterA(config)#int f0/0RouterA(config-if)#ip nat inside (加地址略)
RouterA(config)#int f0/1RouterA(config-if)#ip nat outside (加地址略)
RouterA(config)#access-list 1 permit 192.168.12.0 0.0.0.255
RouterA(config)#ip nat pool net200 200.198.12.3 200.198.12.100 netmask 255.255.255.0 RouterA(config)#ip nat inside source list 1 pool net200 //内部源地址转换
RouterA(config)#ip nat pool net172 172.16.198.3 172.16.198.100 netmask 255.255.255.0 RouterA(config)#ip nat outside source list 1 pool net172 //外部源地址转换
RouterA(config)#ip route 172.16.198.0 255.255.255.0 200.198.12.2
※TCP负载均衡地址转换:当内部网络某台主机TCP 流量负载过重时，可用多台主机进行TCP 业务的均衡负载。

这时，可以考虑用NAT 来实现TCP 流量的负载均衡。

NAT 创建了一台虚拟主机提供TCP 服务，该虚拟主机对应内部多台实际的主机，然后对目标地址进行轮询置换，达到负载分流的目的。

例：在以下配置中，定义了一个虚拟主机地址，所有来自外部网络访问该虚拟主机的TCP 连接，将被分配到多台实际主机上，从而实现负载分流的目标。

Realhosts 定义了实际主机地址池，访问列表1 定义了虚拟主机地址。

外部网的主机要路由到这个虚拟主机地址。

以下配置，只对TCP 流量产生作用，对其它流量保持不变，除
非有另外的NAT 配置。

注意ACL 必须配置为匹配目标IP 的扩展ACL。

!
interface FastEthernet 0/0
ip address 10.10.10.1 255.255.255.0
ip nat inside
!
interface FastEthernet 1/0
ip address 200.198.12.1 255.255.255.0
ip nat outside
!
ip nat pool realhosts 10.10.10.2 10.10.10.3 netmask
255.255.255.0 type rotary //定义实际主机地址池
ip nat inside destination list 1 pool realhosts //执行虚地址转换
!
access-list 1 permit 10.10.10.100 //定义虚拟主机地址
!
通过显示NAT 映射表，可以看到是否能够正确建立转换记录：
Ruijie# sh ip nat translations
Pro Inside global Inside local Outside local
Outside global
tcp 10.10.10.100:23 10.10.10.2:23 100.100.100.100:1178
100.100.100.100:1178
tcp 10.10.10.100:23 10.10.10.3:23 200.200.200.200:1024
200.200.200.200:1024
四、局域网网络安全
1、基于IP的ACL应用
※IP标准访问控制列表：
Switchport(config)#ip access-list standard <列表名>
Switchport(config-std-nacl)#permit|deny <IP地址> <反掩码> |any|host <IP地址>
或Switchport(config)# access-list <1-99> permit|deny <IP地址> <反掩码> |any|host <IP地址> Switchport(config-if)#ip access-group <列表名> in|out
※IP扩展访问控制列表：
Switchport(config)#ip access-list extended <列表名>
Switchport(config-ext-nacl)# permit|deny 协议名（如TCP）<IP地址> <反掩码>
|any|host <IP地址>（源）<IP地址> <反掩码> |any|host <IP地址>（目标）eq 端口号|端口别名
或Switchport(config)# access-list <100-199> permit|deny 协议名（如TCP）<IP地址> <反掩码> |any|host <IP地址>（源）<IP地址> <反掩码> |any|host <IP地址>（目标）eq 端口号|端口别名
Switchport(config-if)#ip access-group <列表名> in|out
※基于时间的访问控制列表：
Switchport(config)#time-range <时间段名称>
Switchport(config-time-range)#absolute start <时>:<分日月年>end <时>:<分日月年>（绝对时间段）| periodic <周期> <时>：<分> to <时>：<分>(周期性时间段) Switchport(config)#ip access-list standard <列表名>
Switchport(config-std-nacl)# permit|deny <IP地址> <反掩码> |any|host <IP地址> time-range <时间段名称>
{Switchport(config)#ip access-list extended <列表名>
Switchport(config-ext-nacl)# permit|deny 协议名（如TCP）<IP地址> <反掩码> |any|host <IP地址>（源）<IP地址> <反掩码> |any|host <IP地址>（目标）eq 端口号|端口别名time-range <时间段名称>}
Switchport(config-if)# ip access-group <列表名> in|out
※专家级访问控制列表：
Switchport(config)#expert access-list extended <专家级访问控制列表名>
Switchport(config-exp-nacl)#perimit|deny协议名（如TCP）<IP地址> <反掩码> |any|host <IP地址>（源IP）host <MAC地址>|any (源MAC) IP地址> <反掩码> |any|host <IP地址>（目标IP）host <MAC地址>|any (目标MAC) eq 端口号|端口别名
(例如：deny ip any host 00e0.8888.8888 host 192.168.20.1 any //当协议为IP、ICMP、IGMP时不需要端口范围)
Switchport(config-if)# expert access-group <专家级访问控制列表名> in|out
2、交换机的端口安全
Switchport(config-if)#swichport protected //接口保护
Switchport(config-if)#swichport port-security //接口类型为Access模式
Switchport(config-if)#swichport port-security maximum <number> //设置最大连接数Switchport(config-if)#swichport port-security violation protect /restrict/shutdown Switchport(config-if)#switchport port-security mac-address <mac> ip-address <ip> 3、QOS流量控制
※交换机端口流量限制：
Switchport(config-if)#rate-limit input|output rate-bps burst-byte [dynamic]
※交换机网段流量限制：
Switchport(config-if)#ip access-list standard <列表名>
Switchport(config-std-nacl)#permit host <IP地址> //定义限速数据流Switchport(config)#class-map <类图名> //定义类图
Switchport(config-camp)#match access-group <列表名> //关联匹配的列表Switchport(config)#policy-map policy <策略表名> //定义策略表名Switchport(config-pamp)#class <类图名> //关联类图
Switchport(config-pamp)# police rate-bps burst-byte [exceed-action{drop | dscp dscp-value}] {rate-bps 每秒钟的带宽限制量，对于10/100M 以太网接口来说取值范围是1～100Mbsp，
对于1000M 以太网接口来说取值范围是8～1000Mbsp。

burst-byte 猝发流量限制值，单位是比特（byte）。

exceed-action drop 丢弃带宽超限部分的报文。

exceed-action dscp dscp-value 改写带宽超限部分报文的DSCP 值。

dscp-value 的取值范围是0, 8, 10, 16, 18, 24, 26, 32, 34, 40, 46, 48, 56.}
※路由器端口流量限制：
Router(config-if)#rate-limit input|output rate-bps|access-group <列表名>rate-bps normal-burst-byte max-burst-byte conform-action drop|transmit exceed-action drop|transmit
4、DHCP监听和保护端口
Switchport(config)#ip dhcp snooping
Switchport(config-if)#ip dhcp snooping trust //将端口设为DHCP信任端口Switchport(config)#ip dhcp snooping binding <mac-asddress> vlan <vlan-id> ip <ip –address > interface <interface > //配置DHCP监听绑定表项
Switchport(config-if)#ip dhcp snooping database write-to-flash //将监听信息写入flash Switchport#show ip dhcp snooping //查看DHCP监听的配置信息
Switchport#show ip dhcp snooping binding //查看DHCP监听绑定表的信息Switchport#clear ip dhcp snooping binding //清除DHCP监听绑定表的信息
5、配置静态MAC和ARP检查
Switchport(condfig)#port-security arp-check //启用ARP检查功能
Switchport(config-if)#swichport port-security
Switchport(config-if)#switchport port-security mac-address <mac> ip-address <ip>
五、网络设备服务技术
三层交换机/路由器配置DHCP服务器
Switch(config)#service dhcp
Switch(config)#ip dhcp pool <地址池名>
Switch(dhcp-config)#network <网段> <网段正掩码>
Switch(dhcp-config)#lease <day> //配置地址租约
Switch(dhcp-config)#default-router <网关地址> //配置网关
Switch(dhcp-config)#dns-server <DNS地址>
Switch(config)#ip dhcp excluded-address <start ip-address> <end ip-address>//配置排除的地址。