锐捷设备命令大全,网络工程师收藏!

本文涉及的产品
全局流量管理 GTM,标准版 1个月
日志服务 SLS,月写入数据量 50GB 1个月
云防火墙,500元 1000GB
简介: 【7月更文挑战第28天】

锐捷网络(Ruijie Networks)是国内领先的网络设备制造商,致力于提供高效、安全、可靠的网络解决方案。锐捷的产品线包括交换机、路由器、防火墙、无线设备等,广泛应用于企业、教育、政府、金融等行业。

锐捷设备在各个行业中的应用场景包括:

  • 企业内部网络架构搭建
  • 数据中心网络
  • 校园网建设
  • 智能城市和智慧交通网络

本文给大家整理一下锐捷设备命令,希望对大家有所帮助!

目录:

[TOC]

基础配置

系统基本配置

设置设备名称

设备名称可以帮助管理员识别设备。设置设备名称的命令如下:

sysname <设备名称>

例如,将设备名称设置为"Ruijie_Switch":

sysname Ruijie_Switch

配置时间和日期

配置设备的时间和日期有助于日志记录和事件管理。使用以下命令配置时区和日期时间:

  1. 设置时区:
clock timezone <时区> add <小时> <分钟>

例如,将时区设置为东八区(北京时间):

clock timezone BJ add 08 00
  1. 设置日期和时间:
clock datetime <年> <月> <日> <小时> <分钟> <秒>

例如,将时间设置为2024年7月3日,15:30:00:

clock datetime 2024 07 03 15 30 00

保存配置

在锐捷设备中,配置更改不会立即保存到启动配置文件,需要手动保存配置。使用以下命令保存配置:

save

保存后,可以通过确认提示来完成保存:

Are you sure to save the configuration? [Y/N]: Y

用户管理

用户管理用于创建和管理设备的用户账号,设置权限和密码。

创建新用户

可以通过以下命令创建一个新的用户:

user-interface console 0
set authentication password simple <密码>

例如,设置控制台用户的密码为"password123":

user-interface console 0
set authentication password simple password123

用户权限配置

可以为远程登录(例如Telnet或SSH)的用户设置权限:

user-interface vty 0 4
set authentication password simple <密码>

例如,设置VTY用户的密码为"password123":

user-interface vty 0 4
set authentication password simple password123

文件系统管理

文件系统管理包括查看、删除和管理设备上的文件。

查看文件系统

可以使用以下命令查看设备上的文件系统和文件:

dir

输出示例如下:

Directory of flash:/

   2  -rw-     6068568  Jan 01 1970 00:01:35   system.bin
   3  -rw-        3456  Jan 01 1970 00:01:36   config.cfg
   4  -rw-      123456  Jan 01 1970 00:01:37   log.txt

删除文件

可以使用以下命令删除设备上的文件:

delete <文件名>

例如,删除文件"log.txt":

delete log.txt

配置文件管理

配置文件管理包括备份和恢复设备的配置文件。

备份配置

可以使用以下命令将当前运行配置备份到启动配置:

copy running-config startup-config

恢复配置

可以使用以下命令将启动配置恢复到当前运行配置:

copy startup-config running-config

接口配置

接口基本配置

接口基本配置包括进入接口配置模式、设置接口描述和启用或关闭接口等。

进入接口配置模式

要配置特定接口,首先需要进入该接口的配置模式。使用以下命令:

interface <接口类型> <接口编号>

例如,进入GigabitEthernet 0/1接口的配置模式:

interface GigabitEthernet 0/1

设置接口描述

设置接口描述可以帮助管理员识别接口的用途或连接对象。使用以下命令:

description <描述信息>

例如,将接口描述设置为"连接到核心交换机":

description 连接到核心交换机

启用或关闭接口

可以使用以下命令启用或关闭接口:

shutdown / no shutdown

例如,启用接口GigabitEthernet 0/1:

interface GigabitEthernet 0/1
no shutdown

物理接口

物理接口配置包括配置IP地址、设置链路模式等。

配置IP地址

为接口配置IP地址和子网掩码,使用以下命令:

ip address <IP地址> <子网掩码>

例如,为GigabitEthernet 0/1接口配置IP地址192.168.1.1,子网掩码255.255.255.0:

interface GigabitEthernet 0/1
ip address 192.168.1.1 255.255.255.0

设置链路模式

可以设置接口的速率和双工模式,使用以下命令:

speed <速率>
duplex <模式>

例如,将GigabitEthernet 0/1接口设置为1000Mbps全双工模式:

interface GigabitEthernet 0/1
speed 1000
duplex full

VLAN接口

VLAN接口配置包括创建VLAN和将接口加入VLAN等。

创建VLAN

使用以下命令创建一个新的VLAN:

vlan <VLAN ID>

例如,创建VLAN 10:

vlan 10

将接口加入VLAN

将接口配置为访问模式并加入指定的VLAN:

interface <接口类型> <接口编号>
switchport mode access
switchport access vlan <VLAN ID>

例如,将GigabitEthernet 0/1接口配置为访问模式并加入VLAN 10:

interface GigabitEthernet 0/1
switchport mode access
switchport access vlan 10

聚合接口

聚合接口(Link Aggregation)配置包括创建聚合接口和将物理接口加入聚合接口等。

创建聚合接口

使用以下命令创建一个新的聚合接口(Port-channel):

interface Port-channel <编号>

例如,创建Port-channel 1:

interface Port-channel 1

将物理接口加入聚合接口

使用以下命令将物理接口加入到聚合接口:

interface <接口类型> <接口编号>
channel-group <编号> mode <模式>

例如,将GigabitEthernet 0/1和0/2接口加入到Port-channel 1,模式为主动(active):

interface GigabitEthernet 0/1
channel-group 1 mode active

interface GigabitEthernet 0/2
channel-group 1 mode active

以太网交换

交换基础

查看MAC地址表

查看设备上的MAC地址表有助于了解网络中的设备连接情况。使用以下命令查看MAC地址表:

show mac address-table

输出示例如下:

MAC Address Table
-------------------------------------------
Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
   10    00e0.b601.aba8    DYNAMIC     Gi0/1
   20    00e0.b601.bacd    DYNAMIC     Gi0/2

清除MAC地址表

清除MAC地址表可以在需要重新学习MAC地址时使用。使用以下命令清除动态MAC地址表:

clear mac address-table dynamic

VLAN和VLAN Trunk

配置Trunk接口

Trunk接口允许多个VLAN通过一个物理接口传输,通常用于交换机之间的连接。使用以下命令配置Trunk接口:

interface <接口类型> <接口编号>
switchport mode trunk
switchport trunk allowed vlan <VLAN列表>

例如,将GigabitEthernet 0/1接口配置为Trunk模式,并允许VLAN 10和20通过:

interface GigabitEthernet 0/1
switchport mode trunk
switchport trunk allowed vlan 10,20

配置本地管理VLAN

本地管理VLAN用于管理交换机的访问,通常是默认VLAN 1。可以使用以下命令更改管理VLAN:

interface vlan <VLAN ID>
ip address <IP地址> <子网掩码>

例如,将管理VLAN设置为VLAN 100,并配置IP地址:

interface vlan 100
ip address 192.168.100.1 255.255.255.0

STP(生成树协议)

生成树协议(STP)用于防止网络中出现环路,保证网络的稳定性和可靠性。

启用STP

可以使用以下命令启用STP并选择STP模式:

spanning-tree mode <模式>

支持的模式包括RSTP、MSTP等。例如,启用快速生成树协议(RSTP):

spanning-tree mode rstp

配置STP优先级

可以配置交换机在STP中的优先级,优先级越低,越可能成为根桥。使用以下命令:

spanning-tree vlan <VLAN ID> priority <优先级>

例如,将VLAN 10的优先级设置为4096:

spanning-tree vlan 10 priority 4096

端口镜像

端口镜像用于网络监控和故障排查,可以将流量从一个接口复制到另一个接口进行分析。

配置端口镜像

使用以下命令配置端口镜像:

monitor session <会话编号> source interface <源接口>
monitor session <会话编号> destination interface <目的接口>

例如,将GigabitEthernet 0/1接口的流量镜像到GigabitEthernet 0/2接口:

monitor session 1 source interface GigabitEthernet 0/1
monitor session 1 destination interface GigabitEthernet 0/2

广域网接入

基本配置

配置广域网接口

广域网接口(WAN接口)用于连接远程网络或互联网。通常,WAN接口会配置IP地址和子网掩码。使用以下命令配置WAN接口:

interface <接口类型> <接口编号>
ip address <IP地址> <子网掩码>

例如,为Serial 0/0接口配置IP地址192.168.10.1,子网掩码255.255.255.252:

interface Serial 0/0
ip address 192.168.10.1 255.255.255.252

配置静态路由

静态路由用于手动配置路由表,指示如何将流量发送到特定网络。使用以下命令配置静态路由:

ip route <目的网络> <子网掩码> <下一跳地址>

例如,配置到网络192.168.20.0/24的静态路由,下一跳地址为192.168.10.2:

ip route 192.168.20.0 255.255.255.0 192.168.10.2

PPP配置

PPP(点对点协议)是一种常用于广域网的链路层协议。

配置PPP

使用以下命令在广域网接口上启用PPP:

interface <接口类型> <接口编号>
encapsulation ppp

例如,在Serial 0/0接口上启用PPP:

interface Serial 0/0
encapsulation ppp

配置PPP认证

PPP支持多种认证方式,如PAP和CHAP。使用以下命令配置PPP认证:

  1. 配置PAP认证:
ppp pap sent-username <用户名> password <密码>

例如,配置PAP认证,用户名为"user1",密码为"password123":

interface Serial 0/0
ppp pap sent-username user1 password password123
  1. 配置CHAP认证:
ppp chap hostname <主机名>
ppp chap password <密码>

例如,配置CHAP认证,主机名为"user1",密码为"password123":

interface Serial 0/0
ppp chap hostname user1
ppp chap password password123

Frame Relay配置

Frame Relay是一种广域网技术,常用于建立虚拟电路。

配置Frame Relay

使用以下命令在广域网接口上启用Frame Relay:

interface <接口类型> <接口编号>
encapsulation frame-relay

例如,在Serial 0/0接口上启用Frame Relay:

interface Serial 0/0
encapsulation frame-relay

配置DLCI

DLCI(数据链路连接标识符)用于标识Frame Relay虚拟电路。使用以下命令配置DLCI:

frame-relay interface-dlci <DLCI编号>

例如,为Serial 0/0接口配置DLCI 100:

interface Serial 0/0
frame-relay interface-dlci 100

Dialer配置

Dialer接口用于拨号连接,通常与PPP结合使用。

配置Dialer接口

使用以下命令配置Dialer接口:

interface Dialer <编号>
ip address negotiated
encapsulation ppp
dialer pool-member <池编号>

例如,配置Dialer 1接口,使用Dialer池1:

interface Dialer 1
ip address negotiated
encapsulation ppp
dialer pool-member 1

配置拨号池

使用以下命令配置拨号池:

dialer pool <池编号>

例如,配置拨号池1:

dialer pool 1

IP业务

IP地址配置

IP地址配置是网络配置的基础,主要用于为设备的接口分配IP地址。

配置IP地址

为设备接口配置IP地址和子网掩码,使用以下命令:

interface <接口类型> <接口编号>
ip address <IP地址> <子网掩码>

例如,为GigabitEthernet 0/1接口配置IP地址192.168.1.1,子网掩码255.255.255.0:

interface GigabitEthernet 0/1
ip address 192.168.1.1 255.255.255.0

DHCP配置

DHCP(动态主机配置协议)用于自动分配IP地址、网关和DNS服务器等信息给客户端。

配置DHCP服务器

  1. 创建DHCP池:
ip dhcp pool <池名称>

例如,创建名为"LAN"的DHCP池:

ip dhcp pool LAN
  1. 指定网络和子网掩码:
network <网络地址> <子网掩码>

例如,指定网络192.168.1.0/24:

network 192.168.1.0 255.255.255.0
  1. 指定网关:
default-router <网关地址>

例如,指定网关192.168.1.1:

default-router 192.168.1.1
  1. 指定DNS服务器:
dns-server <DNS服务器地址>

例如,指定DNS服务器8.8.8.8:

dns-server 8.8.8.8

配置DHCP中继

DHCP中继用于在不同网络段之间传递DHCP请求。使用以下命令配置DHCP中继:

interface <接口类型> <接口编号>
ip helper-address <DHCP服务器地址>

例如,在GigabitEthernet 0/1接口上配置DHCP中继,DHCP服务器地址为192.168.2.1:

interface GigabitEthernet 0/1
ip helper-address 192.168.2.1

NAT配置

NAT(网络地址转换)用于在私有IP地址和公共IP地址之间进行转换,以便内部网络访问外部网络。

配置静态NAT

静态NAT用于将一个私有IP地址映射到一个公共IP地址。使用以下命令配置静态NAT:

ip nat inside source static <私有IP地址> <公共IP地址>

例如,将私有IP地址192.168.1.100映射到公共IP地址203.0.113.1:

ip nat inside source static 192.168.1.100 203.0.113.1

配置动态NAT

动态NAT用于将一个内部网络地址池映射到一个公共IP地址池。使用以下命令配置动态NAT:

  1. 定义内部网络地址池:
ip nat pool <池名称> <起始IP地址> <结束IP地址> netmask <子网掩码>

例如,定义地址池“PUBLIC”,地址范围从203.0.113.1到203.0.113.10,子网掩码255.255.255.0:

ip nat pool PUBLIC 203.0.113.1 203.0.113.10 netmask 255.255.255.0
  1. 创建访问列表,定义内部网络范围:
access-list <编号> permit <网络地址> <反掩码>

例如,定义访问列表10,内部网络范围为192.168.1.0/24:

access-list 10 permit 192.168.1.0 0.0.0.255
  1. 将内部网络映射到公共地址池:
ip nat inside source list <访问列表编号> pool <池名称>

例如,将访问列表10映射到地址池“PUBLIC”:

ip nat inside source list 10 pool PUBLIC
  1. 配置内部和外部接口:
interface <接口类型> <接口编号>
ip nat inside / ip nat outside

例如,配置GigabitEthernet 0/1为内部接口,GigabitEthernet 0/2为外部接口:

interface GigabitEthernet 0/1
ip nat inside

interface GigabitEthernet 0/2
ip nat outside

静态路由配置

静态路由用于手动配置路由表,指示如何将流量发送到特定网络。使用以下命令配置静态路由:

ip route <目的网络> <子网掩码> <下一跳地址>

例如,配置到网络192.168.20.0/24的静态路由,下一跳地址为192.168.1.2:

ip route 192.168.20.0 255.255.255.0 192.168.1.2

IP路由

静态路由

静态路由用于手动配置路由表,指示如何将流量发送到特定网络。其配置在前面已部分涉及,这里再详细说明。

配置静态路由

使用以下命令配置静态路由:

ip route <目的网络> <子网掩码> <下一跳地址>

例如,配置到网络192.168.30.0/24的静态路由,下一跳地址为192.168.1.1:

ip route 192.168.30.0 255.255.255.0 192.168.1.1

RIP配置

RIP(路由信息协议)是一种较为简单的内部网关协议,适用于小型网络。

启用RIP

使用以下命令启用RIP并配置相应的网络:

router rip
version <版本号>
network <网络地址>

例如,启用RIP版本2,并配置网络192.168.1.0/24和192.168.2.0/24:

router rip
version 2
network 192.168.1.0
network 192.168.2.0

配置RIP被动接口

被动接口不发送RIP更新,但仍接收和处理RIP更新。使用以下命令配置RIP被动接口:

router rip
passive-interface <接口类型> <接口编号>

例如,将GigabitEthernet 0/1接口设置为RIP被动接口:

router rip
passive-interface GigabitEthernet 0/1

OSPF配置

OSPF(开放最短路径优先)是一种链路状态协议,适用于大型和复杂的网络。

启用OSPF

使用以下命令启用OSPF并配置相应的网络:

router ospf <进程ID>
network <网络地址> <反掩码> area <区域ID>

例如,启用OSPF进程1,并配置网络192.168.1.0/24到区域0:

router ospf 1
network 192.168.1.0 0.0.0.255 area 0

配置OSPF优先级

OSPF优先级用于选择指定路由器(DR)和备份指定路由器(BDR)。使用以下命令配置接口的OSPF优先级:

interface <接口类型> <接口编号>
ip ospf priority <优先级>

例如,将GigabitEthernet 0/1接口的OSPF优先级设置为100:

interface GigabitEthernet 0/1
ip ospf priority 100

BGP配置

BGP(边界网关协议)是一种用于自治系统之间的路由协议,适用于互联网骨干网。

启用BGP

使用以下命令启用BGP并配置本地AS号:

router bgp <本地AS号>
neighbor <邻居IP地址> remote-as <邻居AS号>

例如,启用BGP,配置本地AS号为65001,邻居IP地址为192.168.1.2,邻居AS号为65002:

router bgp 65001
neighbor 192.168.1.2 remote-as 65002

配置BGP网络

使用以下命令将本地网络宣告到BGP:

router bgp <本地AS号>
network <网络地址> mask <子网掩码>

例如,将网络192.168.1.0/24宣告到BGP:

router bgp 65001
network 192.168.1.0 mask 255.255.255.0

ACL和QoS

ACL(访问控制列表)

ACL用于控制流量的访问权限,通过设置一系列规则来允许或拒绝特定的数据包。ACL有标准ACL和扩展ACL两种类型。

标准ACL

标准ACL根据源IP地址来过滤流量。

配置标准ACL

使用以下命令配置标准ACL:

access-list <编号> permit | deny <源IP地址> <反掩码>

例如,允许来自192.168.1.0/24网络的流量:

access-list 10 permit 192.168.1.0 0.0.0.255
应用标准ACL到接口

将ACL应用到接口上:

interface <接口类型> <接口编号>
ip access-group <ACL编号> in | out

例如,将ACL 10应用到GigabitEthernet 0/1接口的入方向:

interface GigabitEthernet 0/1
ip access-group 10 in

扩展ACL

扩展ACL根据源和目的IP地址、协议类型以及端口号来过滤流量。

配置扩展ACL

使用以下命令配置扩展ACL:

access-list <编号> permit | deny <协议类型> <源IP地址> <反掩码> <目的IP地址> <反掩码> [eq <端口号>]

例如,允许TCP协议从192.168.1.0/24网络到192.168.2.0/24网络的流量,端口号为80:

access-list 100 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 80
应用扩展ACL到接口

将ACL应用到接口上:

interface <接口类型> <接口编号>
ip access-group <ACL编号> in | out

例如,将ACL 100应用到GigabitEthernet 0/1接口的入方向:

interface GigabitEthernet 0/1
ip access-group 100 in

QoS(服务质量)

QoS用于管理网络资源,提供不同类型流量的优先级,以确保关键应用的带宽和延迟要求。

配置QoS策略

QoS策略包括分类、标记、队列和调度等步骤。

分类和标记

使用类图定义流量分类:

class-map <类图名称>
match <匹配条件>

例如,定义类图"HTTP"来匹配TCP协议的80端口流量:

class-map HTTP
match protocol tcp
match port 80
配置策略图

使用策略图来定义分类后的操作:

policy-map <策略图名称>
class <类图名称>
<操作>

例如,为类图"HTTP"配置带宽限制为1Mbps:

policy-map LIMIT-HTTP
class HTTP
bandwidth 1000
应用策略图到接口

将策略图应用到接口上:

interface <接口类型> <接口编号>
service-policy input | output <策略图名称>

例如,将策略图"LIMIT-HTTP"应用到GigabitEthernet 0/1接口的出方向:

interface GigabitEthernet 0/1
service-policy output LIMIT-HTTP

可靠性

链路聚合(Link Aggregation)

链路聚合用于将多个物理链路捆绑成一个逻辑链路,以提高带宽和可靠性。

配置链路聚合

  1. 创建聚合接口:
interface port-channel <编号>

例如,创建聚合接口Port-Channel 1:

interface port-channel 1
  1. 将物理接口添加到聚合接口:
interface <物理接口类型> <物理接口编号>
channel-group <聚合接口编号> mode <模式>

例如,将GigabitEthernet 0/1和GigabitEthernet 0/2接口添加到Port-Channel 1,模式为active:

interface GigabitEthernet 0/1
channel-group 1 mode active

interface GigabitEthernet 0/2
channel-group 1 mode active

查看链路聚合状态

使用以下命令查看链路聚合的状态:

show etherchannel summary

STP(生成树协议)

STP用于防止交换网络中的环路,确保网络的稳定性和可靠性。

启用STP

使用以下命令启用STP:

spanning-tree mode <模式>

例如,启用快速生成树协议(RSTP):

spanning-tree mode rapid-pvst

配置STP优先级

使用以下命令配置交换机的STP优先级,以决定根桥的选择:

spanning-tree vlan <VLAN编号> priority <优先级>

例如,将VLAN 1的STP优先级设置为4096:

spanning-tree vlan 1 priority 4096

配置STP端口优先级

使用以下命令配置接口的STP端口优先级,以决定指定端口的选择:

interface <接口类型> <接口编号>
spanning-tree vlan <VLAN编号> port-priority <优先级>

例如,将GigabitEthernet 0/1接口的VLAN 1端口优先级设置为128:

interface GigabitEthernet 0/1
spanning-tree vlan 1 port-priority 128

VRRP(虚拟路由冗余协议)

VRRP用于提高网络的可靠性,通过在多个路由器之间共享虚拟IP地址,实现网关的冗余备份。

配置VRRP

  1. 配置接口的IP地址:
interface <接口类型> <接口编号>
ip address <IP地址> <子网掩码>

例如,为GigabitEthernet 0/1接口配置IP地址192.168.1.2,子网掩码255.255.255.0:

interface GigabitEthernet 0/1
ip address 192.168.1.2 255.255.255.0
  1. 配置VRRP组:
interface <接口类型> <接口编号>
vrrp <组编号> ip <虚拟IP地址>

例如,为GigabitEthernet 0/1接口配置VRRP组1,虚拟IP地址为192.168.1.1:

interface GigabitEthernet 0/1
vrrp 1 ip 192.168.1.1
  1. 配置VRRP优先级:
interface <接口类型> <接口编号>
vrrp <组编号> priority <优先级>

例如,将VRRP组1的优先级设置为120:

interface GigabitEthernet 0/1
vrrp 1 priority 120

网管和监控

SNMP(简单网络管理协议)

SNMP用于监控网络设备和服务器,收集信息并进行管理。

配置SNMP代理

  1. 启用SNMP代理:
snmp-server community <团体名> <访问权限> <ACL编号>

例如,启用团体名为"public",读写权限为可读写,ACL编号为10的SNMP代理:

snmp-server community public RW 10
  1. 配置SNMP Trap接收者:
snmp-server host <Trap接收者IP地址> version <版本号> <团体名>

例如,配置Trap接收者IP地址为192.168.1.10,版本号为2c,团体名为"public":

snmp-server host 192.168.1.10 version 2c public

查看SNMP状态

使用以下命令查看SNMP配置和状态:

show snmp

Syslog

Syslog用于记录设备的事件和消息,便于故障排除和审计。

配置Syslog服务器

  1. 配置Syslog服务器地址:
logging <Syslog服务器IP地址>

例如,配置Syslog服务器IP地址为192.168.1.20:

logging 192.168.1.20
  1. 配置Syslog级别:
logging level <级别> <设备>

例如,设置所有设备的Syslog级别为信息(Informational):

logging level informational

查看Syslog日志

使用以下命令查看Syslog日志:

show logging

NetFlow

NetFlow用于监控和收集流量数据,以进行流量分析和网络性能优化。

配置NetFlow

  1. 启用NetFlow:
flow record <记录名称>
match <匹配条件>
collect <收集字段>

例如,创建记录名称为"NETFLOW-RECORD",匹配所有流量,收集IP地址和端口号:

flow record NETFLOW-RECORD
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port
  1. 配置NetFlow导出器:
flow exporter <导出器名称>
destination <导出器IP地址>
source <本地接口>
transport udp <端口号>

例如,配置导出器名称为"NETFLOW-EXPORTER",目的地IP地址为192.168.1.30,本地接口为GigabitEthernet 0/1,UDP端口号为2055:

flow exporter NETFLOW-EXPORTER
destination 192.168.1.30
source GigabitEthernet 0/1
transport udp 2055
  1. 配置NetFlow监视器:
flow monitor <监视器名称>
record <记录名称>
exporter <导出器名称>
cache timeout active <超时时间>

例如,配置监视器名称为"NETFLOW-MONITOR",使用之前创建的记录名称和导出器名称,并设置活动超时时间为60秒:

flow monitor NETFLOW-MONITOR
record NETFLOW-RECORD
exporter NETFLOW-EXPORTER
cache timeout active 60

启用NetFlow监控接口

将NetFlow监视器应用到接口上:

interface <接口类型> <接口编号>
ip flow monitor <监视器名称> input | output

例如,将监视器"NETFLOW-MONITOR"应用到GigabitEthernet 0/1接口的输入方向:

interface GigabitEthernet 0/1
ip flow monitor NETFLOW-MONITOR input

安全

防火墙

防火墙用于控制网络流量,保护网络安全,包括配置访问控制列表(ACL)和安全策略等功能。

配置防火墙ACL

  1. 创建防火墙ACL:
access-list <编号> permit | deny <协议类型> <源IP地址> <反掩码> <目的IP地址> <反掩码> [eq <端口号>]

例如,允许TCP协议从192.168.1.0/24网络到192.168.2.0/24网络的流量,端口号为80:

access-list 110 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 80
  1. 将ACL应用到防火墙接口:
interface <防火墙接口类型> <防火墙接口编号>
ip access-group <ACL编号> in | out

例如,将ACL 110应用到防火墙的入方向:

interface firewall GigabitEthernet 1/0/1
ip access-group 110 in

配置安全策略

  1. 创建安全策略:
policy-map <策略名称>
class <类名称>
<操作>

例如,创建策略名称为"SECURITY-POLICY",并设置检查HTTP流量:

policy-map SECURITY-POLICY
class HTTP
inspect http
  1. 将安全策略应用到防火墙接口:
interface <防火墙接口类型> <防火墙接口编号>
service-policy <策略名称> in | out

例如,将策略"SECURITY-POLICY"应用到防火墙的入方向:

interface firewall GigabitEthernet 1/0/1
service-policy SECURITY-POLICY in

VPN(虚拟专用网络)

VPN用于通过公共网络(如Internet)安全地连接私有网络。

配置IPSec VPN

  1. 配置IPSec策略:
crypto isakmp policy <优先级>
encryption <加密算法>
authentication <认证算法>

例如,配置IPSec策略优先级为10,使用AES加密和SHA认证:

crypto isakmp policy 10
encryption aes
authentication sha
  1. 配置IPSec转换集:
crypto ipsec transform-set <转换集名称> <加密算法> <认证算法>

例如,创建转换集名称为"IPSEC-TRANSFORM",使用AES加密和SHA认证:

crypto ipsec transform-set IPSEC-TRANSFORM esp-aes esp-sha-hmac
  1. 配置IPSec安全关联(SA):
crypto map <地图名称> <序列号> ipsec-isakmp
set peer <对等方IP地址>
set transform-set <转换集名称>
match address <ACL编号>

例如,创建地图名称为"IPSEC-MAP",序列号为10,设置对等方IP地址、转换集和ACL编号:

crypto map IPSEC-MAP 10 ipsec-isakmp
set peer 203.0.113.1
set transform-set IPSEC-TRANSFORM
match address 120
  1. 将IPSec地图应用到接口:
interface <接口类型> <接口编号>
crypto map <地图名称>

例如,将IPSec地图"IPSEC-MAP"应用到GigabitEthernet 0/1接口:

interface GigabitEthernet 0/1
crypto map IPSEC-MAP

组播(Multicast)

组播用于在网络上一次传输数据到多个目的地。

配置组播路由

  1. 启用组播路由:
ip multicast-routing
  1. 配置组播路由协议(如PIM):
router <组播路由协议>

例如,配置PIM组播路由协议:

router pim
  1. 配置组播组:
ip igmp join-group <组播组地址>

例如,加入组播组地址为239.1.1.1:

ip igmp join-group 239.1.1.1

总结

最后瑞哥将命令整理成表格,大家可以截图收藏!

基础配置

命令 描述
system-view 进入系统视图
sysname <设备名称> 设置设备主机名
interface <接口类型> <接口编号> 进入接口视图
description <描述信息> 配置接口描述信息
ip address <IP地址> <子网掩码> 配置接口IP地址和子网掩码
undo shutdown 启用接口
save 保存配置

接口配置

命令 描述
port link-mode <模式> 配置接口链路模式
port default vlan <VLAN编号> 配置接口默认VLAN
port default pvid <VLAN编号> 配置接口默认PVID
port trunk permit vlan <VLAN列表> 配置允许通过的VLAN列表
port hybrid tagged vlan <VLAN列表> 配置混合接口允许的标记VLAN
port hybrid untagged vlan <VLAN列表> 配置混合接口允许的非标记VLAN

以太网交换

命令 描述
vlan batch <VLAN列表> 批量创建VLAN
interface vlanif <VLAN编号> 进入VLAN接口视图
ip address <IP地址> <子网掩码> 配置VLAN接口IP地址和子网掩码
stp enable 启用生成树协议
stp instance <实例编号> priority <优先级> 配置生成树实例优先级

广域网接入

命令 描述
interface <接口类型> <接口编号> 进入接口视图
pppoe-client dial-bundle-number <号码> 配置PPPoE客户端拨号号码
ip address ppp-negotiate PPPoE自动协商IP地址
nat outbound <编号> 配置NAT出口策略

IP业务

命令 描述
ip route-static <目的网络> <子网掩码> <下一跳地址> 配置静态路由
ip dns server 启用设备作为DNS服务器
ping <目标地址> 发送Ping测试
tracert <目标地址> 追踪路由到目标地址

IP路由

命令 描述
ospf <进程编号> 进入OSPF进程视图
area <区域编号> authentication 配置OSPF区域认证方式
interface <接口类型> <接口编号> 进入接口视图
ospf network-type <网络类型> 配置OSPF接口网络类型

ACL和QoS

命令 描述
acl number <ACL编号> 创建ACL
`rule <规则编号> permit deny <协议类型> <源IP> <反掩码> <目的IP> <反掩码>` 配置ACL规则
qos policy <策略名称> 进入QoS策略视图
classifier <分类名称> behavior <行为名称> 配置分类器和行为
apply qos policy <策略名称> <接口类型> <接口编号> 应用QoS策略到接口

可靠性

命令 描述
interface port-channel <编号> 创建聚合接口
interface <物理接口类型> <物理接口编号> 添加物理接口到聚合接口
spanning-tree mode <模式> 配置生成树协议模式
spanning-tree vlan <VLAN编号> priority <优先级> 配置STP优先级
vrrp <组编号> ip <虚拟IP地址> 配置VRRP组

网管和监控

命令 描述
snmp-server community <团体名> <访问权限> <ACL编号> 配置SNMP代理
snmp-server host <Trap接收者IP地址> version <版本号> <团体名> 配置SNMP Trap接收者
logging <Syslog服务器IP地址> 配置Syslog服务器地址
logging level <级别> 配置Syslog日志级别
flow record <记录名称> 创建NetFlow记录
flow exporter <导出器名称> 配置NetFlow导出器
flow monitor <监视器名称> 配置NetFlow监视器

安全

命令 描述
`access-list <编号> permit deny <协议类型> <源IP地址> <反掩码> <目的IP地址> <反掩码> [eq <端口号>]` 配置防火墙ACL
interface <防火墙接口类型> <防火墙接口编号> 应用ACL到防火墙接口
policy-map <策略名称> 创建安全策略
class <类名称> 进入策略类视图
crypto isakmp policy <优先级> 配置IPSec ISAKMP策略
crypto ipsec transform-set <转换集名称> <加密算法> <认证算法> 配置IPSec转换集
crypto map <地图名称> <序列号> ipsec-isakmp 创建IPSec地图
目录
相关文章
|
7天前
|
监控 安全 Linux
在 Linux 系统中,网络管理是重要任务。本文介绍了常用的网络命令及其适用场景
在 Linux 系统中,网络管理是重要任务。本文介绍了常用的网络命令及其适用场景,包括 ping(测试连通性)、traceroute(跟踪路由路径)、netstat(显示网络连接信息)、nmap(网络扫描)、ifconfig 和 ip(网络接口配置)。掌握这些命令有助于高效诊断和解决网络问题,保障网络稳定运行。
25 2
|
23天前
|
安全 网络安全 数据安全/隐私保护
|
19天前
|
域名解析 网络协议 安全
|
24天前
|
网络协议 安全 网络安全
|
8天前
|
JSON Shell Linux
配置Python的环境变量可
配置Python的环境变量
24 4
|
8天前
|
存储 Python
Python自动化脚本编写指南
【10月更文挑战第38天】本文旨在为初学者提供一条清晰的路径,通过Python实现日常任务的自动化。我们将从基础语法讲起,逐步引导读者理解如何将代码块组合成有效脚本,并探讨常见错误及调试技巧。文章不仅涉及理论知识,还包括实际案例分析,帮助读者快速入门并提升编程能力。
33 2
|
9天前
|
网络协议 Linux
使用nmcli命令设置IP地址并排查网络故障
nmcli 是一个功能强大的网络管理工具,通过它可以轻松配置IP地址、网关和DNS,同时也能快速排查网络故障。通过正确使用nmcli命令,可以确保网络配置的准确性和稳定性,提高系统管理的效率。希望本文提供的详细步骤和示例能够帮助您更好地掌握nmcli的使用方法,并有效解决实际工作中的网络问题。
22 2
|
10天前
|
运维 监控 Python
自动化运维:使用Python脚本简化日常任务
【10月更文挑战第36天】在数字化时代,运维工作的效率和准确性成为企业竞争力的关键。本文将介绍如何通过编写Python脚本来自动化日常的运维任务,不仅提高工作效率,还能降低人为错误的风险。从基础的文件操作到进阶的网络管理,我们将一步步展示Python在自动化运维中的应用,并分享实用的代码示例,帮助读者快速掌握自动化运维的核心技能。
25 3
|
10天前
|
网络虚拟化 数据安全/隐私保护 数据中心
对比了思科和华为网络设备的基本配置、接口配置、VLAN配置、路由配置、访问控制列表配置及其他重要命令
本文对比了思科和华为网络设备的基本配置、接口配置、VLAN配置、路由配置、访问控制列表配置及其他重要命令,帮助网络工程师更好地理解和使用这两个品牌的产品。通过详细对比,展示了两者的相似之处和差异,强调了持续学习的重要性。
24 2
|
15天前
|
缓存 运维 NoSQL
python常见运维脚本_Python运维常用脚本
python常见运维脚本_Python运维常用脚本
20 3